okvir profesionalnog djelovanja - hiir profesionalnog djelovanja.pdf · smjernice za obavljanje...
TRANSCRIPT
Izjava
Autorska prava © Instituta internih revizora (IIA), 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Sva prava pridržana. Tiskano u Sjedinjenim Američkim Državama. Ni jedan dio ove publikacije ne smije se reproducirati, čuvati u sustavima za pretraživanje ili emitirati u bilo kakvom obliku i putem bilo kakvih sredstava – elektroničkih, mehaničkih, fotokopiranjem, snimanjem ili na drugi način – ako prethodno nije dobiveno pisano odobrenje izdavača. IIA objavljuje ovaj dokument u informativne i obrazovne svrhe. Namjera ovog dokumenta je osigurati informacije, ali ne i zamijeniti pravne ili računovodstvene preporuke. IIA ne daje takve savjete te ne jamči bilo kakve pravne ili računovodstvene rezultate na temelju objavljivanja ovog dokumenta. U slučaju pravnih ili računovodstvenih problema, za pomoć je potrebno potražiti i angažirati stručnu osobu.Okvir profesionalnog djelovanja (OPD) osmišljen je kako bi se na primjeren način na jednome mjestu objedinile već postojeće smjernice za obavljanje struke, kao i nove koje se razvijaju. OPD obuhvaća Definiciju interne revizije, Etički kodeks, Međunarodne standarde za stručnu provedbu interne revizije (Standardi) i Preporuke za rad, te utire put vrhunskoj internoj reviziji. Cilj je Fondacije za istraživanje Instituta internih revizora (IIARF) postati globalni predvodnik u sponzoriranju, širenju i promicanju istraživanja i izvora znanja u svrhu unaprjeđenja razvoja i učinkovitosti struke internih revizora.
NASLOV IZVORNIKA: The Professional Practices Framework
ISBN-10: 0-89413-558-904643 01/05Prvo izdanje07478 05/07Šesto izdanje (REVIDIRANO)
IZDAVAČ IZVORNIKA: The institute of Internal AuditorsGlobal Practices Center247 Maitland AvenueAltamonte Springs, FL 32701-4201 SADTelefon: +1-407-937-1362Faks: : +1-407-937-1101e-mail: [email protected]
NAKLADNIK: Hrvatski institut internih revizoraZagreb, Jakova Gotovca 1/II
ZA NAKLADNIKA: mr. Stanko Tokić, predsjednik
PREVODITELJ: HalPet d.o.o., Zagreb
UREDNICI / REDAKTORI: prof. dr. Boris Tušek i prof. dr. Lajoš Žager
LEKTOR: prof. Ana Krivec
NAKLADA: 2000
TISAK I DISTRIBUCIJA: Marko M usluge d.o.o., Zagreb
ISBN: 978-953-55827-0-0CIP zapis dostupan u računalnom katalogu Nacionalne i sveučilišne knjižnice u Zagrebu pod brojem 710989.
3
SADRŽAJ
PREDGOVOR HRVATSKOM IZDANJU .......................................................................23
PREDGOVOR ...................................................................................................................25
ZAHVALA ........................................................................................................................27
DEFINICIJA INTERNE REVIZIJE ..................................................................................29
ETIČKI KODEKS .............................................................................................................31
MEĐUNARODNI STANDARDI ZA STRUČNU PROVEDBU INTERNE REVIZIJE (STANDARDI) ....................................................................................................................35
Uvod ...................................................................................................................................35
OPĆI STANDARDI ..........................................................................................................37
1000 – Svrha, ovlasti i odgovornosti .................................................................................371100 – Neovisnost i objektivnost .......................................................................................37
1110 – Organizacijska neovisnost ................................................................................371120 – Individualna objektivnost .................................................................................381130 – Narušavanje neovisnosti ili objektivnosti ........................................................38
1200 – Stručnost i dužna profesionalna pozornost ............................................................381210 – Stručnost ...........................................................................................................38
4
Okvir profesionalnog djelovanja
1220 – Dužna profesionalna pozornost ........................................................................391230 – Kontinuiran profesionalni razvoj .....................................................................40
1300 – Program osiguranja kvalitete i unaprjeđenja ..........................................................401310 – Ocjenjivanje programa kvalitete .....................................................................40 1311 – Interno vrednovanje ..........................................................................................40 1312 – Vanjsko vrednovanje ........................................................................................401320 – Izvještavanje o programu kvalitete ..................................................................401330 – Uporaba fraze „Provedeno u skladu sa Standardima“ .....................................401340 – Obavijest o neusklađenosti ...............................................................................41
STANDARDI IZVOĐENJA .............................................................................................43
2000 – Vođenje interne revizije .........................................................................................432010 – Planiranje ..........................................................................................................432020 – Priopćavanje i odobrenje ..................................................................................432030 – Upravljanje resursima ......................................................................................442040 – Politike i postupci .............................................................................................442050 – Koordinacija .....................................................................................................442060 – Podnošenje izvještaja upravi i višem menadžmentu ........................................44
2100 – Priroda posla ..........................................................................................................442110 – Upravljanje rizicima .........................................................................................442120 - Kontrola ...........................................................................................................452130 – Korporativno upravljanje .................................................................................45
2200 – Planiranje angažmana ............................................................................................462201 – Uvjeti planiranja ...............................................................................................462210 – Ciljevi angažmana ............................................................................................472220 – Opseg posla ......................................................................................................472230 – Raspoređivanje resursa za poslovni angažman ................................................472240 – Program rada ....................................................................................................47
2300 – Obavljanje angažmana ...........................................................................................482310 – Utvrđivanje informacija ...................................................................................482320 – Analiza i procjena .............................................................................................482330 – Evidentiranje informacija .................................................................................482340 – Nadzor angažmana ...........................................................................................48
2400 – Priopćavanje rezultata ............................................................................................492410 – Kriteriji priopćavanja .......................................................................................492420 – Kvaliteta priopćavanja ......................................................................................49
5
Sadržaj
2430 – Izjava o neusklađenosti angažmana sa Standardima .......................................492440 – Distribucija rezultata ........................................................................................49
2500 – Praćenje napretka ...................................................................................................502600 – Odluka uprave o prihvaćanju rizika .......................................................................50
POJMOVNIK ....................................................................................................................51
PREPORUKE ZA RAD ....................................................................................................57
Preporuka za rad 1000-1: Povelja o internoj reviziji ...................................................................................................58
Preporuka za rad 1000.C1-1: Smjernice internim revizorima za obavljanje konzultacija ................................................59
Preporuka za rad 1000.C1-2:Dodatni uvjeti za formalna savjetovanja ............................................................................62
Preporuka za rad 1000.C1-3:Dodatni uvjeti za konzultacijske angažmane u državnim organizacijama ........................68
Preporuka za rad 1100-1:Neovisnost i objektivnost ...................................................................................................76
Preporuka za rad 1100-1:Organizacijska neovisnost .................................................................................................77
Preporuka za rad 1110.A1-1:Otkrivanje razloga za zahtjeve za informacijama ..............................................................79
Preporuka za rad 1110-2:Linije izvještavanja glavnog revizora ................................................................................80
Preporuka za rad 1120-1:Individualna objektivnost ...................................................................................................84
Preporuka za rad 1130-1:Narušavanje neovisnosti ili objektivnosti ..........................................................................86
Preporuka za rad 1130.A1-1:Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorni .......................87
6
Okvir profesionalnog djelovanja
Preporuka za rad 1130.A1-2:Odgovornost interne revizije za ostale (nerevizijske) funkcije ..........................................89
Preporuka za rad 1200-1:Stručnost i dužna profesionalna pozornost ........................................................................92
Preporuka za rad 1210-1:Stručnost ............................................................................................................................93
Preporuka za rad 1210.A1-1:Angažiranje usluga za potporu ili dopunu internoj reviziji ...............................................95
Preporuka za rad 1210.A2-1:Odgovornosti revizora u pogledu procjene rizika od prijevare; sprječavanja i otkrivanja .........................................................................................................................99
Preporuka za rad 1210.A2-2:Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanja ................................................................................................. 107
Preporuka za rad 1220-1:Dužna profesionalna pozornost ....................................................................................... 113
Preporuka za rad 1220-2:Računalno podržane revizijske tehnike (CAAT alati) .................................................... 114
Preporuka za rad 1230-1:Kontinuirani profesionalni razvoj ................................................................................... 120
Preporuka za rad 1300-1:Program osiguranja kvalitete i unaprjeđenja ....................................................................121
Preporuka za rad 1310-1:Ocjene programa kvalitete .............................................................................................. 124
Preporuka za rad 1311-1:Interno ocjenjivanje .......................................................................................................... 126
Preporuka za rad 1311-2:Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizije ............................................................. 128
7
Sadržaj
Preporuka za rad 1312-1:Vanjsko ocjenjivanje ...................................................................................................... 135
Preporuka za rad 1312-2Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom ......................................... 139
Preporuka za rad 1320-1:Izvještavanje o programu kvalitete ................................................................................. 142
Preporuka za rad 1330-1:Upotreba fraze „Provedeno u skladu sa Standardima“ ................................................... 143
Preporuka za rad 2000-1Upravljanje aktivnostima interne revizije ....................................................................... 145
Preporuka za rad 2010-1Planiranje ........................................................................................................................ 146
Preporuka za rad 2010-2Povezivanje plana revizije s rizikom i izloženostima ..................................................... 148
Preporuka za rad 2020-1Priopćavanje i odobrenje ................................................................................................. 150
Preporuka za rad 2030-1Upravljanje resursima ..................................................................................................... 151
Preporuka za rad 2040-1Politike i procedure ......................................................................................................... 152
Preporuka za rad 2050-1Koordinacija .................................................................................................................... 153
Preporuka za rad 2050-2Akvizicija usluga vanjske revizije .................................................................................. 157
Preporuka za rad 2060-1:Izvještavanje odbora i višeg menadžmenta ..................................................................... 160
Preporuka za rad 2060-2:Povezanost s Odborom za reviziju .................................................................................. 162
8
Okvir profesionalnog djelovanja
Preporuka za rad 2100-1:Priroda posla ................................................................................................................... 166
Preporuka za rad 2100-2:Sigurnost informacija ...................................................................................................... 168
Preporuka za rad 2100-3:Uloga interne revizije u procesu upravljanja rizicima .................................................... 170
Preporuka za rad 2100-4:Uloga interne revizije u organizacijama bez procesa upravljanja rizicima .................... 172
Preporuka za rad 2100-5:Pravni obziri u procjeni programa regulacijskog usklađivanja ....................................... 174
Preporuka za rad 2100-6:Implikacije kontrole i revizije pri aktivnostima e-trgovine ............................................ 180
Preporuka za rad 2100-7:Uloga interne revizije u prepoznavanju i prijavi rizika za okoliš ................................... 186
Preporuka za rad 2100-8:Uloga interne revizije u procjeni okvira privatnosti organizacije ................................... 189
Preporuka za rad 2100-9:Revizija aplikacijskih sustava ......................................................................................... 192
Preporuka za rad 2100-10:Uzimanje uzoraka revizije .............................................................................................. 196
Preporuka za rad 2100-11:Utjecaji sveobuhvatnih kontrola IS-a .............................................................................. 201
Preporuka za rad 2100-12:Eksternaliziranje aktivnosti IS-a drugim organizacijama ............................................... 207
Preporuka za rad 2100-13:Utjecaj trećih strana na informatičku kontrolu organizacije ........................................... 211
Preporuke za rad 2100-14:Zahtjev na revizijske dokaze ........................................................................................... 218
9
Sadržaj
Preporuka za rad 2110-1:Procjena adekvatnosti procesa upravljanja rizicima ....................................................... 221
Preporuka za rad 2110-2:Uloga interne revizije u procesu poslovne kontinuiranosti ............................................. 224
Preporuka za rad 2120.A1-1:Ocjenjivanje i izvještavanje o procesima kontrole ......................................................... 227
Preporuka za rad 2120.A1-2:Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrole ..... 230
Preporuka za rad 2120.A1-3:Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima, i ovjerama rukovodstva ................................................................................................... 234Preporučene radnje za interne revizore ........................................................................... 236
Preporuka za rad 2120.A1-4:Revizija procesa financijskog izvještavanja ................................................................... 239Izvještavanje o internoj kontroli ..................................................................................... 240Okvir za internu kontrolu ................................................................................................ 241Uloge internog revizora .................................................................................................. 243
Preporuka za rad 2120.A4-1:Kriteriji kontrole ............................................................................................................. 245
Preporuka za rad 2130-1:Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije ....... 246Korporativno upravljanje i kultura organizacije ............................................................. 247Podijeljena odgovornost za etičku kulturu organizacije ................................................. 247Aktivnost interne revizije kao zagovornika etike ........................................................... 247
Preporuka za rad 2200-1:Planiranje rada ................................................................................................................ 249
Preporuka za rad 2210-1:Ciljevi rada ...................................................................................................................... 251
10
Okvir profesionalnog djelovanja
Preporuka za rad 2210.A1-1:Procjena rizika u planiranju angažmana ......................................................................... 252
Preporuka za rad 2230-1:Raspodjela resursa u angažmanu .................................................................................... 255Preporuka za rad 2240-1:Program rada angažmana ................................................................................................ 256
Preporuka za rad 2240.A1-1:Odobrenje programa rada ............................................................................................... 257
Preporuka za rad 2300-1:Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizije .... 258
Preporuka za rad 2310-1:Utvrđivanje informacija .................................................................................................. 260
Preporuka za rad 2320-1:Analiza i vrednovanje ..................................................................................................... 261
Preporuka za rad 2330-1:Evidentiranje informacija ................................................................................................ 263
Preporuka za rad 2330.A1-1:Kontrola dokumentacije angažmana ............................................................................... 265
Preporuka za rad 2330.A1-2:Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmana ....................... 266
Preporuka za rad 2330.A2-1:Zadržavanje dokumentacije ............................................................................................ 269
Preporuka za rad 2340-1:Nadzor angažmana .......................................................................................................... 270
Preporuka za rad 2400-1:Pravni obziri u priopćavanju rezultata ............................................................................ 272
Preporuka za rad 2410-1:Kriteriji priopćavanja ...................................................................................................... 275
11
Sadržaj
Preporuka za rad 2420-1:Kvaliteta priopćenja ........................................................................................................ 278
Preporuka za rad 2440-1:Primatelji rezultata angažmana ....................................................................................... 280
Preporuka za rad 2440-2:Priopćavanje izvan organizacije ..................................................................................... 282
Preporuka za rad 2440-3:Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca ......................... 284
Preporuka za rad 2500-1:Praćenje napretka ............................................................................................................ 289
Preporuka za rad 2500.A1-1:Proces praćenja ............................................................................................................... 291
Preporuka za rad 2600-1:Prihvaćanje rizika od strane uprave ................................................................................ 293
PRIJEVOD ILI PRILAGODBA OKVIRA PROFESIONALNOG DJELOVANJA I POVEZANIH SMJERNICA (Administrativna direktiva br. 2) .................................... 295
DODATAK: POJMOVI KOJI SE KORISTE U OVOM OKVIRU .............................. 299
13
TEMATSKI INDEKS PREPORUKA ZA RAD
Povelja revizijePreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1310-1 Ocjene programa kvalitetePreporuka za rad 2010-1 PlaniranjePreporuka za rad 2060-2 Povezanost s Odborom za revizijuPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacijePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lancaPreporuka za rad 2500.A1-1 Proces praćenja
Preuzimanje nerevizijskih obvezaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorni
14
Okvir profesionalnog djelovanja
Preporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicima
OsiguranjePreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1210.A2-2 Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-7 Uloga interne revizije u prepoznavanju i prijavi rizika za okolišPreporuka za rad 2100-8 Uloga interne revizije u procjeni okvira privatnosti organizacijePreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2110-2 Uloga interne revizije u procesu poslovne kontinuiranostiPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2120.A1-2 Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrolePreporuka za rad 2120.A1-3 Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima i ovjerama rukovodstvaPreporuka za rad 2120.A1-4 Revizija procesa financijskog izvještavanjaPreporuka za rad 2120.A4-1 Kriteriji kontrole
Izvještavanje odbora i višeg menadžmentaPreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnosti
15
Tematski indeks preporuka za rad
Preporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1311-1 Interno ocjenjivanjePreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1320-1 Izvještavanje o programu kvalitetePreporuka za rad 2020-1 Priopćavanje i odobrenjePreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2060-1 Izvještavanje odbora i višeg menadžmentaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lancaPreporuka za rad 2600-1 Prihvaćanje rizika od strane uprave
Odgovornosti glavnog revizoraPreporuka za rad 1000-1 Povelja o internoj revizijiPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1110-1 Organizacijska neovisnostPreporuka za rad 1110.A1-1 Otkrivanje razloga za zahtjeve za informacijamaPreporuka za rad 1110-2 Linije izvještavanja glavnog revizoraPreporuka za rad 1120-1 Individualna objektivnostPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 2000-1 Upravljanje aktivnostima interne revizijePreporuka za rad 2040-1 Politike i procedurePreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2050-2 Akvizicija usluga vanjske revizijePreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrole Preporuka za rad 2120.A1-3 Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenjima i ovjerama rukovodstva
16
Okvir profesionalnog djelovanja
Preporuka za rad 2120.A1-4 Revizija procesa financijskog izvještavanjaPreporuka za rad 2200-1 Planiranje radaPreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2330.A1-1 Kontrola dokumentacije angažmanaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2330.A2-1 Zadržavanje dokumentacijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2410-1 Kriteriji priopćavanjaPreporuka za rad 2440-1 Primatelji rezultata angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacijePreporuka za rad 2500-1 Praćenje napretkaPreporuka za rad 2500.A1-1 Proces praćenja
Udovoljavanje StandardimaPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“
KonzultacijePreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije
OtkrivanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“
17
Tematski indeks preporuka za rad
Preporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2440-3 Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca
Priopćenja angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“Preporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2050-1 KoordinacijaPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2400-1 Pravni obziri u priopćavanju rezultataPreporuka za rad 2410-1 Kriteriji priopćavanjaPreporuka za rad 2420-1 Kvaliteta priopćenjaPreporuka za rad 2440-1 Primatelji rezultata angažmanaPreporuka za rad 2440-2 Priopćavanje izvan organizacije
Izvedba angažmanaPreporuka za rad 1110.A1-1 Otkrivanje razloga za zahtjeve za informacijamaPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2310-1 Utvrđivanje informacijaPreporuka za rad 2320-1 Analiza i vrednovanjePreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2340-1 Nadzor angažmana
Planiranje i opseg angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 2200-1 Planiranje rada
18
Okvir profesionalnog djelovanja
Preporuka za rad 2210-1 Ciljevi radaPreporuka za rad 2210.A1-1: Procjena rizika u planiranju angažmanaPreporuka za rad 2230-1 Raspodjela resursa u angažmanuPreporuka za rad 2240-1 Program rada angažmanaPreporuka za rad 2240.A1-1 Odobrenje programa radaPreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2410-1 Kriteriji priopćavanja
Radni papiri angažmanaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2330-1 Evidentiranje informacijaPreporuka za rad 2330.A1-2 Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmanaPreporuka za rad 2330.A2-1 Zadržavanje dokumentacijePreporuka za rad 2340-1 Nadzor angažmanaPreporuka za rad 2400-1 Pravni obziri u priopćavanju rezultata
Korporativno upravljanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacijeNeovisnost i objektivnostPreporuka za rad 1000.C1-1 Smjernice internim revizorima za obavljanje konzultacijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1000.C1-3 Dodatni uvjeti za konzultacijske angažmane u državnim organizacijamaPreporuka za rad 1100-1 Neovisnost i objektivnostPreporuka za rad 1110-1 Organizacijska neovisnostPreporuka za rad 1120-1 Individualna objektivnostPreporuka za rad 1130-1 Narušavanje neovisnosti ili objektivnostiPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2130-1 Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi organizacije
19
Tematski indeks preporuka za rad
Informacijska tehnologijaPreporuka za rad 1220-2 Računalno podržane revizijske tehnike (CAAT alati)Preporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-8 Uloga interne revizije u procjeni okvira privatnosti organizacijePreporuka za rad 2100-9 Revizija aplikacijskih sustavaPreporuka za rad 2100-10 Uzimanje uzoraka revizijePreporuka za rad 2100-11 Utjecaji sveobuhvatnih kontrola IS-aPreporuka za rad 2100-12 Eksternaliziranje aktivnosti IS-a drugim organizacijamaPreporuka za rad 2100-13 Utjecaj trećih strana na informatičku kontrolu organizacijePreporuka za rad 2100-14 Zahtjev za revizijskim dokazimaPreporuka za rad 2110-2 Uloga interne revizije u procesu poslovne kontinuiranostiPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizije
Interna revizijaPreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrolePreporuka za rad 2120.A1-2 Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa kontrolePreporuka za rad 2120.A4-1 Kriteriji kontrole
Eksternaliziranje ili suradnjaPreporuka za rad 1130.A1-2 Odgovornost interne revizije za ostale (nerevizijske) funkcijePreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 2050-2 Akvizicija usluga vanjske revizije
Stručnost i dužna pozornost
Preporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1210-1 Stručnost
20
Okvir profesionalnog djelovanja
Preporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1210.A2-1 Odgovornosti revizora u pogledu procjene rizika od prijevare, sprječavanja i otkrivanjaPreporuka za rad 1210.A2-2 Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanjaPreporuka za rad 1220-1 Dužna profesionalna pozornostPreporuka za rad 1230-1 Kontinuirani profesionalni razvojPreporuka za rad 2300-1 Korištenje osobnih informacija od strane interne revizije tijekom provedbe revizijePreporuka za rad 2340-1 Nadzor angažmana
Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1300-1 Program osiguranja kvalitete i unaprjeđenjaPreporuka za rad 1310-1 Ocjene programa kvalitetePreporuka za rad 1311-1 Interno ocjenjivanjePreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 1312-1 Vanjsko ocjenjivanjePreporuka za rad 1312-2 Vanjsko vrednovanje samoprocjene s nezavisnom ocjenomPreporuka za rad 1320-1 Izvještavanje o programu kvalitetePreporuka za rad 1330-1 Upotreba fraze „Provedeno u skladu sa Standardima“
Upravljanje resursimaPreporuka za rad 1130.A1-1 Ocjenjivanje poslova za koje su interni revizori prethodno bili odgovorniPreporuka za rad 1200-1 Stručnost i dužna profesionalna pozornostPreporuka za rad 1210-1 StručnostPreporuka za rad 1210.A1-1 Angažiranje usluga za potporu ili dopunu internoj revizijiPreporuka za rad 1311-2 Utvrđivanje pokazatelja (kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama uspješnosti interne revizijePreporuka za rad 2030-1 Upravljanje resursimaPreporuka za rad 2050-2 Akvizicija usluga vanjske revizijePreporuka za rad 2100-2 Sigurnost informacija
Planiranje na temelju rizikaPreporuka za rad 2010-1 PlaniranjePreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2020-1 Priopćavanje i odobrenje
21
Tematski indeks preporuka za rad
Preporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2120.A1-1 Ocjenjivanje i izvještavanje o procesima kontrole
Upravljanje rizicima i procjenjivanjePreporuka za rad 1000.C1-2 Dodatni uvjeti za formalna savjetovanjaPreporuka za rad 2010-2 Povezivanje plana revizije s rizikom i izloženostimaPreporuka za rad 2100-1 Priroda poslaPreporuka za rad 2100-2 Sigurnost informacijaPreporuka za rad 2100-3 Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2100-4 Uloga interne revizije u organizacijama bez procesa upravljanja rizicimaPreporuka za rad 2100-5 Pravni obziri u procjeni programa regulacijskog usklađivanjaPreporuka za rad 2100-6 Implikacije kontrole i revizije pri aktivnostima e- trgovinePreporuka za rad 2100-7 Uloga interne revizije u prepoznavanju i prijavi rizika za okolišPreporuka za rad 2110-1 Procjena adekvatnosti procesa upravljanja rizicimaPreporuka za rad 2210-1 Ciljevi radaPreporuka za rad 2210.A1-1 Procjena rizika u planiranju angažmanaPreporuka za rad 2600-1 Prihvaćanje rizika od strane uprave
Prijevod ili prilagodba Okvira profesionalnog djelovanja i povezanih smjernica (administrativna direktiva br. 2)
23
PREDGOVOR HRVATSKOM IZDANJU
Svako područje profesionalnog djelovanja, pa tako i interna revizija, ne može egzistirati bez vlastitih “pravila igre”, kao pretpostavke profesionalnog obavljanja revizijskog posla. U tom smislu Institut internih revizora (IIA) (The Institute of Internal Auditors - IIA), ulaže velike napore i sredstva u definiranje i oblikovanje te razradu što kvalitetnijeg cjelokupnog koncepta stručnog rada i djelovanja interne revizije kao profesije. U proteklih nekoliko godina objavljeno je više stručnih pravila za rad interne revizije, od definicije interne revizije, etičkog kodeksa, standarda i smjernica za stručno obavljanje interne revizije i pojednih stručnih dokumenata. Okvir profesionalnog djelovanja (The Professional Practices Framework - PPF) je rezultat takvoga rada i doprinosa IIA. Okvir profesionalnog djelovanja interne revizije izradio je i objavio Institut internih revizora odnosno njegova Fondacija za istraživanja IIA (The IIA Research Foundation), čiji je to upravo zadatak. Okvir profesionalnog djelovanja se sastoji od definicije interne revizije, Etičkog kodeksa, Međunarodnih standarda za profesionalno obavljanje interne revizije, Preporuka za rad i Pojmovnika. Svrha Okvira profesionalnog djelovanja interne revizije je da se na jednom mjestu oblikuju i definiraju te zajednički objave stručna pravila. Na taj način strukovna udruga (IIA) pomaže internim revizorima diljem svijeta, kao i koplementarnim strukama i revizijskim odborima. Definiranjem Okvira, na odgovarajući sistematičan način, internim revizorima se daju obvezujuće i neobvezujuće smjernice za uspostavljanje i djelovanje interne revizije te rad internih revizora. Uloga i zadatak smjernica je da pomognu internim revizorima u njihovom svakodnevnom radu pružanjem odgovarajućih smjernica i preporuka u svim fazama procesa provođenja interne revizije, poglavito odgovarajućeg načina provođenja određenih postupaka ili procesa u obavljanju sve složenijih zadataka i aktivnosti interne revizije. Njihovom primjenom interni revizori osiguravaju kvalitetno provođenje interne revizije i pružanje proizvoda i usluga svojim korisnicima, sukladno njihovim potrebama i očekivanjima te mogu utjecati na proces upravljanja i poslovanja.U kontekstu primjene Okvira profesionalnog djelovanja internog revizora treba istaknuti činjenicu da se diljem svijeta interna revizija provodi u različitim okolnostima i vrstama
24
Okvir profesionalnog djelovanja
organizacija koje se razlikuju po djelatnosti, veličini, organizacijskoj strukturi, poslovnoj kulturi, tradiciji i slično. Često puta institucionalni okviri za profesionalno djelovanje interne revizije u pojedinim zemljama se međusobno razlikuje, a te razlike mogu utjecati na organizaciju i djelovanje interne revizije i rad internih revizora. Povezano s tim, primjena Okvira profesionalnog djelovanja u značajnoj je mjeri uvjetovana okruženjem u kojemu interni revizori ispunjavanju svoje obveze, ovlasti i odgovornosti koje su im dodijeljene. Zbog toga često puta interni revizori moraju uskladiti primjenu Okvira profesionalnog djelovanja s mjerodavnim pravom i institucionalnim okvirom unutar kojeg djeluju.Hrvatski institut internih revizora (HIIR) ovim prvi puta objavljuje prijevod Okvira profesionalnog djelovanja. I nadalje će HIIR pratiti, prevoditi i objavljivati službene objave smjernica i preporuka te dokumenata Instituta internih revizora (IIA). Ovaj prijevod Okvira profesionalnog djelovanja je dosljedan prijevod Okvira profesionalnog djelovanja izvornog engleskog izdanja The Professional Practices Framework, The IIA Research Foundation, March 2007. Budući da je ovo prvi službeni prijevod jednog dokumenta IIA, zasigurno da ima nekih stručnih i jezičnih problema. Sve stručne sugestije, prijedloge i savjete za kvalitetnijim prijevodom u duhu hrvatskog jezika prihvatit ćemo sa zahvalnošću te ih nastojati uvažiti u nekom novom prijevodu.U nastojanju da svojim članovima pomažemo u njihovom svakodnevnom radu, HIIR će do kraja 2009.g. objaviti i novi Međunarodi okvir profesionalnog djelovanja, engl. The International Professional Practices Framework (IPPF), na hrvatskom jeziku.
Zagreb, srpanj 2009.g.
PREDSJEDNIK HIIR-amr. Stanko Tokić, dipl.oec.
25
PREDGOVOR
U lipnju 1999. godine Upravni odbor Instituta internih revizora (IIA) izglasovao je novu definiciju interne revizije i novi Okvir profesionalnog djelovanja (OPD). Načelno, okvir daje strukturirani plan načina na koji se kombinira korpus znanja i smjernica. Kao jedinstven sustav, on olakšava dosljedan razvoj, tumačenje i primjenu koncepata, metodologija i tehnika koje su korisne u nekoj disciplini ili struci. Konkretno, svrha je OPD-a organizirati smjernice za provođenje interne revizije na način koji je lako i pravovremeno dostupan. Uključujući i trenutačnu praksu interne revizije, OPD bi trebao pomoći profesionalcima diljem svijeta da na odgovarajući način reagiraju na rastuće tržište na kojem se traže visokokvalitetne usluge interne revizije.
OPD se sastoji od Definicije interne revizije, Etičkog kodeksa, Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i Preporuka za rad. Prva tri elementa smatraju se obveznim smjernicama (Definicija interne revizije, Etički kodeks i Standardi). Sve obvezne smjernice su u fazi izrade nacrta prošle kontrolu struke i smatraju se prijeko potrebnima za stručno provođenje interne revizije. Ostali elementi OPD-a povezani su s predmetnim Standardima.
Prema definiciji, interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.
Diljem svijeta interna se revizija provodi u različitim okolnostima i u organizacijama koje se razlikuju prema svojoj svrsi, veličini i strukturi. Osim toga, zakoni i običaji u različitim zemljama međusobno se razlikuju, a te razlike mogu utjecati na provođenje interne revizije. Dakle, provedbu OPD-a uređuje okruženje u kojemu interni revizori ispunjavaju odgovornosti
26
Okvir profesionalnog djelovanja
koje su im dodijeljene. Ni jedna informacija koja je sadržana u OPD-u ne smije se tumačiti na način koji je suprotan mjerodavnom pravu ili zakonima. Ako se dogodi situacija u kojoj su informacije sadržane u OPD-u u sukobu sa zakonodavstvom ili propisima, interni revizori se potiču da se obrate IIA-u ili da potraže pravni savjet za daljnje postupanje.
Svrha Etičkog kodeksa IIA je promicanje etičke kulture u internoj reviziji. Etički kodeks je potreban i primjeren za struku interne revizije budući da se temelji na povjerenju u njezino objektivno mišljenje o upravljanju rizikom, kontroli i korporativnom upravljanju.
Standardi, na način na koji su opisani u OPD-u, čine kriterije na osnovu kojih se ocjenjuje i vrednuje djelovanje odjela za internu reviziju. Njihova je svrha osigurati provođenje interne revizije u primjerenu obliku. Svrha je Standarda da služe cjelokupnoj struci interne revizije i u svim vrstama organizacija u kojima se nalaze interni revizori. Unutar OPD-a postoje tri skupine standarda: opći standardi, standardi izvođenja i standardi primjene. Opći standardi odnose se na značajke organizacija i pojedinaca koji pružaju usluge interne revizije. Standardi izvođenja opisuju prirodu usluga interne revizije i propisuju kriterije kvalitete na osnovu kojih je moguće vrednovati obavljanje tih usluga. Opći i standardi izvođenja odnose se na sve usluge interne revizije. Standardi primjene nadograđuju se na opće i standarde izvođenja i osiguravaju smjernice koje se primjenjuju u određenim slučajevima.
Poštivanje koncepata koji su istaknuti u obveznim smjernicama potrebno je kako bi se mogle ispuniti odgovornosti internih revizora. Kao što se navodi u Etičkom kodeksu, interni revizori dužni su pružati usluge interne revizije u skladu sa Standardima. Svi članovi IIA-e i svi ovlašteni interni revizori suglasni su s poštivanjem Etičkog kodeksa i Standarda, a svrha je ovih smjernica primjenjivost za sve članove struke internih revizora, bez obzira na to jesu li ili ne članovi IIA-e.
Kako bi njihova primjena mogla biti sveobuhvatna, obvezne smjernice u određenoj mjeri moraju biti općenite. IIA snažno preporučuje i promiče Preporuke za rad. Iako nisu obvezne, preporuke za rad predstavljaju najbolju praksu koju podržava IIA kao način provedbe Standarda. U jednom dijelu preporuke za rad mogu pomoći u tumačenju Standarda ili njihovoj primjeni u specifičnom okruženju u kojemu se provodi interna revizija. Brojne preporuke za rad primjenjive su na sve interne revizore, dok neke mogu biti namijenjene za potrebe internih revizora u posebnoj djelatnosti, posebnoj vrsti revizije ili zemljopisnom području. Sve preporuke za rad podliježu službenom postupku kontrole koji provodi Odbor za stručna pitanja IIA-e.
Tiskana verzija Okvira profesionalnog djelovanja (katkada se naziva ‘Crvena knjiga’) sadrži definiciju interne revizije, Etički kodeks, Standarde i Preporuke za rad. Za sve najnovije informacije pratite internetsku stranicu IIA na http://www.theiia.org/guidance.
Tijekom idućih godina interni revizori mogu dati svoj doprinos i osigurati jačanje OPD-a aktivnim sudjelovanjem u razvoju smjernica. Pozivaju se sve zainteresirane strane da daju komentare i prijedloge o bilo kojem aspektu OPD-a. Za sve stručne savjete, komentare ili prijedloge pošaljite elektroničko pismo na [email protected].
27
ZAHVALA
Institut internih revizora (IIA) zahvaljuje državnim agencijama, stručnim organizacijama, internim i vanjskim revizorima, članovima rukovodstva,upravnom odboru i akademskoj zajednici koji su osigurali smjernice i pomoć u razvoju i tumačenju Međunarodnih standarda za stručnu provedbu interne revizije (Standardi). IIA iskreno zahvaljuje onim pojedincima koji su tijekom godina radili u Vijeću za standarde interne revizije, Odboru za pitanja struke, Etičkom povjerenstvu i ostalim međunarodnim odborima.
29
DEFINICIJA INTERNE REVIZIJE
Interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.
31
ETIČKI KODEKS
Uvod
Svrha Etičkog kodeksa Instituta je promicanje etičke kulture u struci internih revizora.
Interna revizija je neovisno i objektivno jamstvo i konzultacijska aktivnost koja se rukovodi filozofijom dodane vrijednosti s namjerom poboljšanja poslovanja organizacije. Ona pomaže organizaciji u ispunjavanju njezinih ciljeva uvodeći sustavan, discipliniran pristup procjenjivanju i poboljšanju djelotvornosti upravljanja rizicima, kontrole i korporativnog upravljanja.
Etički kodeks prijeko je potreban i primjeren za struku interne revizije budući da se temelji na povjerenju koje se daje objektivnoj provjeri upravljanja rizikom, kontrole i korporativnog upravljanja. Etički kodeks Instituta seže dalje od puke definicije interne revizije i uključuje dva ključna elementa:
1. načela koja su važna za struku i provođenje interne revizije 2. pravila ponašanja koja opisuju očekivane standarde ponašanja internih revizora; ta pravila služe kao pomoć u tumačenju načela u svrhu praktične primjene te kao smjernice za etičko postupanje internih revizora.
Etički kodeks, zajedno s Okvirom profesionalnog djelovanja Instituta te ostalim bitnim publikacijama Instituta, osigurava smjernice internim revizorima koji drugima pružaju usluge. Pojam „interni revizori“ odnosi se na članove Instituta, nositelje ili kandidate za
32
Okvir profesionalnog djelovanja
dobivanje stručnog certifikata IIA-e, kao i one koji pružaju usluge interne revizije u okviru definicije interne revizije.
Primjenjivost i provedba
Ovaj Etički kodeks u jednakoj se mjeri primjenjuje na pojedince i subjekte koji pružaju usluge interne revizije.
Za članove Instituta i nositelje ili kandidate za dobivanje stručnog certifikata IIA-e kršenje Etičkog kodeksa ocjenjuje se i sankcionira u skladu s podzakonskim aktima Instituta i administrativnim smjernicama. Činjenica da određeno postupanje nije spomenuto u Pravilima ponašanja, ne sprječava da se ono smatra neprihvatljivim ili da šteti ugledu, te se stoga član, nositelj stručnog certifikata ili kandidat mogu smatrati odgovornima i podliježu disciplinskim mjerama.
Načela
Od internih se revizora očekuje primjena i pridržavanje sljedećih načela:
1. Integritet Poštenje internih revizora donosi povjerenje i osigurava temelj povjerenja u njihovu prosudbu.
2. Objektivnost Interni revizori moraju pokazivati najveći stupanj profesionalne objektivnosti prilikom prikupljanja, procjene i priopćavanja informacija o aktivnosti ili postupku koji se ispituju. Interni revizori daju usklađenu ocjenu svih relevantnih okolnosti, a prilikom donošenja mišljenja na njih ne utječu neprimjereni vlastiti interesi ili interesi drugih.
3. Povjerljivost Interni revizori poštuju vrijednost i vlasništvo nad informacijama koje dobivaju i te informacije ne otkrivaju bez odgovarajućih ovlasti, osim ako ne postoji zakonska ili profesionalna obveza da to učine.
4. Stručnost Interni revizori primjenjuju znanje, vještine i iskustvo koje je potrebno za pružanje usluga interne revizije.
Pravila ponašanja
1. Integritet Interni revizori moraju poštovati sljedeće odrednice:
33
Etički kodeks
1.1. Dužni su obavljati svoj posao pošteno, marljivo i odgovorno. 1.2. Dužni su poštivati zakon i objavljivati informacije u slučaju kada to propisuje zakon ili struka. 1.3. Ne smiju svjesno sudjelovati u bilo kakvim nezakonitim aktivnostima ili radnjama koje narušavaju ugled struke internih revizora ili organizacije. 1.4. Dužni su poštivati i doprinositi legitimnim i etičkim ciljevima organizacije.
2. Objektivnost Interni revizori:
2.1. Ne smiju sudjelovati u bilo kakvoj radnji ili odnosu koji može narušiti ili za koje se može pretpostaviti da će narušiti nepristranu procjenu. Ovo sudjelovanje uključuje one radnje ili odnose koji mogu biti u suprotnosti s interesima organizacije. 2.2. Ne smiju prihvaćati ništa što bi moglo narušiti ili za što bi se moglo pretpostaviti da će narušiti njihovo profesionalno rasuđivanje. 2.3. Dužni su otkriti sve materijalne činjenice s kojima su upoznati a koje bi, ako ih ne otkriju, mogle iskriviti izvještavanje ili radnje koje se ispituju.
3. Povjerljivost Interni revizori:
3.1. Dužni su postupati razborito prilikom korištenja i zaštite informacija prikupljenih tijekom obavljanja svojih dužnosti. 3.2. Ne smiju koristiti informacije za osobni probitak ili na način koji bi bio suprotan zakonu ili koji bi štetio legitimnim i etičkim ciljevima organizacije.
4. Stručnost Interni revizori:
4.1. Smiju pružati samo one usluge za koje posjeduju potrebno znanje, vještine i iskustvo. 4.2. Dužni su provoditi revizijske usluge u skladu s Međunarodnim standardima za stručnu provedbu interne revizije. 4.3. Dužni su stalno nadograđivati svoje stručno znanje, učinkovitost i kvalitetu svojih usluga.
35
MEĐUNARODNI STANDARDI ZA STRUČNU PROVEDBU INTERNE REVIZIJE (STANDARDI)
STANDARDI
Uvod
Interna revizija provodi se u različitim pravnim i kulturalnim okruženjima; u organizacijama koje se razlikuju prema svrsi, veličini, složenosti i strukturi, a provode je osobe unutar ili izvan organizacije. Iako razlike mogu utjecati na provođenje interne revizije u svakom pojedinom okruženju, pridržavanje Međunarodnih standarda za stručnu provedbu interne revizije (Standarda) potrebno je kako bi se ispunile odgovornosti internih revizora. U slučaju da zakoni ili propisi zabranjuju internim revizorima postupanje u skladu s nekim dijelovima Standarda, trebaju se pridržavati svih ostalih dijelova Standarda i dati odgovarajuće izjave.
Svrha je Standarda:
1. dati pregled osnovnih načela koja predstavljaju praksu interne revizije onakvom kakva ona treba biti2. osigurati okvir za obavljanje i promicanje širokog raspona radnji interne revizije s dodanom vrijednošću 3. utvrditi osnovu za vrednovanje provedene interne revizije 4. promicati unaprjeđenje organizacijskih postupaka i radnji.
36
Okvir profesionalnog djelovanja
Standardi se sastoje od općih standarda, standarda izvođenja i standarda primjene. Opći standardi odnose se na značajke organizacija ili pojedinaca koji pružaju usluge interne revizije. Standardi izvođenja opisuju prirodu usluga interne revizije i daju kriterije kvalitete na temelju kojih se može ocijeniti izvršenje tih usluga. Opći i standardi izvođenja primjenjuju se na sve usluge interne revizije. Standardi primjene nadovezuju se na opće i standarde izvođenja te osiguravaju smjernice koje se primjenjuju u posebnim slučajevima. Ti se standardi mogu odnositi na specifičnu djelatnost, regiju ili posebne vrste revizijskih usluga.
Postoji jedna skupina općih standarda i standarda izvođenja, međutim postoji više skupina standarda primjene: skupina za svaku važniju aktivnost interne revizije. Standardi primjene utvrđeni su za radnje vezane uz provjeru (P) i savjetovanje (S).
Usluge provjere uključuju objektivnu ocjenu dokaza koju donosi interni revizor kako bi mogao donijeti objektivno mišljenje ili zaključke o postupku, sustavu, ili nekom drugom predmetu. Prirodu i opseg provjere određuje interni revizor. U načelu, tri su strane uključene u usluge provjere: (1) osoba ili skupina koja neposredno sudjeluje u postupku, sustavu ili drugom predmetu – nositelj postupka, (2) osoba ili skupina koja daje ocjenu – interni revizor i (3) osoba ili skupina koja koristi rezultat ocjene – korisnik.
Konzultacijske usluge po prirodi su konzultacijske i u načelu se obavljaju na poseban zahtjev klijenta. Priroda i opseg konzultacijskog angažmana ovise o dogovoru s klijentom koji traži uslugu. Konzultacijske usluge u načelu uključuju dvije strane: (1) osobu ili skupinu koja nudi savjet – interni revizor i (2) osobu ili skupinu koja traži i dobiva savjet – klijent koji traži angažman. Prilikom pružanja konzultacijskih usluga interni revizor trebao bi zadržati objektivnost i ne bi smio preuzimati na sebe odgovornosti rukovodstva.
U Standardima se koriste pojmovi čije je značenje objašnjeno u priloženom pojmovniku. Razvoj i objavljivanje Standarda stalan je proces. Odbor za standarde interne revizije održava sveobuhvatne konzultacije i raspravu prije izdavanja Standarda, što uključuje prikupljanje javnih komentara iz cijelog svijeta na nacrt Standarda. Svi nacrti objavljeni su na internetskoj stranici IIA-e i distribuiraju se pridruženim članovima IIA-e.
Prijedlozi i komentari u vezi sa Standardima mogu se poslati na sljedeću adresu:
Institut internih revizoraOdjel za stručno poslovanje
227 Maitland AvenueAltamonte Springs, FL 32701-4201, SAD
e-mail: [email protected]: http://www.theiia.org
37
OPĆI STANDARDI
1000 – Svrha, ovlasti i odgovornosti
Svrhu, ovlasti i odgovornosti interne revizije trebalo bi formalno definirati u povelji, koja mora biti u skladu sa Standardima i koju odobri uprava.
1000.A1 – Prirodu usluga provjere koje pruža organizacija treba definirati u povelji o reviziji. Ako se provjera osigurava strankama izvan organizacije, prirodu takvih provjera također treba definirati u povelji. 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.
1100 – Neovisnost i objektivnost
Interna revizija mora biti neovisna, a interni revizori moraju biti objektivni prilikom izvršavanja svojih zadaća.
1110 – Organizacijska neovisnost Glavni revizor podnosi izvještaj onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti.
1110.A1 – Ne smije se utjecati na djelatnike interne revizije prilikom određivanja opsega provedbe interne revizije, obavljanja posla i priopćavanja rezultata.
38
Okvir profesionalnog djelovanja
1120 – Individualna objektivnost Interni revizori moraju biti nepristrani, objektivni i moraju izbjegavati sukobe interesa.
1130 – Narušavanje neovisnosti ili objektivnosti Ako dođe do stvarnog ili navodnog narušavanja neovisnosti ili objektivnosti, o detaljima takvog narušavanja treba obavijestiti odgovarajuće stranke. Priroda takve objave ovisit će o narušavanju.
1130.A1 – Interni revizori moraju se suzdržati od procjene određenih radnji za koje su prethodno bili nadležni. Smatra se da je objektivnost narušena kada interni revizor pruža usluge provjere za djelatnost za koju je bio odgovoran u razdoblju tijekom prethodne godine.
1130.A2 – Angažman provjere funkcija za koje je glavni revizor odgovaran treba nadgledati stranka izvan djelatnosti interne revizije.
1130.C1 – Interni revizori mogu pružati konzultacijske usluge koje se odnose na radnje za koje su prethodno bili odgovorni.
1130.C2 – Ako postoji mogućnost narušavanja neovisnosti ili objektivnosti internih revizora u pogledu predloženih konzultacijskih usluga, o tome je potrebno obavijestiti klijenta koji je naručio uslugu prije nego što posao bude prihvaćen.
1200 – Stručnost i dužna profesionalna pozornost
Poslove treba obavljati stručno i uz dužnu profesionalnu pozornost.
1210 – Stručnost Interni revizori moraju posjedovati znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje pojedinačnih odgovornosti. U kolektivnom smislu, struka internih revizora treba posjedovati ili steći znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje pojedinačnih odgovornosti.
1210.A1 – Glavni revizor dužan je pribaviti stručan savjet i pomoć ako interni revizori ne posjeduju znanja, vještine i ostale sposobnosti koje su potrebne za ispunjavanje dijela ili cijelog poslovnog angažmana.
1210.A2 – Interni revizor mora posjedovati dovoljan stupanj znanja da može odrediti pokazatelje koji upućuju na prijevaru, no ne očekuje se da posjeduje stručno znanje kao osoba čija je glavna odgovornost otkrivanje i istraživanje prijevare.
39
Opći standardi
1210.A3 – Interni revizori trebali bi posjedovati znanje o ključnim rizicima i kontrolama informacijske tehnologije te o dostupnim revizijskim tehnikama koje koriste tehnologiju za obavljanje posla koji im je dodijeljen. Međutim, ne očekuje se od svih internih revizora da posjeduju stručno znanje kao i onaj interni revizor čija je primarna odgovornost revizija informacijske tehnologije.
1210.C1 – Glavni revizor mora odbiti savjetovanje ili treba pribaviti stručan savjet i stručnu pomoć ako interni revizori ne posjeduju znanja, vještine i ostale sposobnosti koje su potrebne za obavljanje dijela i cijelog poslovnog angažmana.
1220 – Dužna profesionalna pozornostInterni revizori moraju postupati s pozornošću i vještinom koje se očekuju od razborita i stručnog internog revizora. Dužna profesionalna pozornost ne podrazumijeva nepogrješivost.
1220.A1 – Interni revizor mora postupati s dužnom profesionalnom pozornošću tako što će u obzir uzeti:
• opseg potrebnog posla kako bi se ispunili ciljevi poslovnog angažmana
• relativnu složenost, materijalnost ili važnost stvari na koje se primjenjuje postupak provjere
• prikladnost i učinkovitost postupaka upravljanja rizikom, kontrole i korporativnog upravljanja
• vjerojatnost pojave važnih grešaka, nepravilnosti ili neusklađenosti
• trošak provjere s obzirom na moguće koristi.
1220.A2 – Prilikom postupanja s dužnom profesionalnom pozornošću, interni revizor trebao bi u obzir uzeti korištenje računalnih revizijskih alata i ostalih tehnika analize podataka.
1220.A3 – Interni revizor mora obratiti pozornost na značajne rizike koji bi mogli utjecati na ciljeve, poslovanje ili resurse. Međutim, sami postupci provjere, čak i kada se provode uz dužnu profesionalnu pozornost, ne jamče da će značajni rizici biti uočeni.
1220.C1 – Interni revizor mora postupati s dužnom profesionalnom pozornošću tijekom konzultacijskog angažmana, uzimajući u obzir sljedeće:
• potrebe i očekivanja klijenata, uključujući prirodu, vrijeme i priopćavanje rezultata angažmana
• relativnu složenost i opseg posla koji je potreban da bi se ostvarili ciljevi angažmana
40
Okvir profesionalnog djelovanja
• trošak savjetovanja u odnosu na moguću korist.
1230 – Kontinuiran profesionalni razvoj Interni revizori trebali bi nadograđivati svoje znanje, vještine i ostale sposobnosti kroz kontinuiran profesionalni razvoj.
1300 – Program osiguranja kvalitete i unaprjeđenja rada
Glavni revizor mora razraditi i održavati program osiguranja kvalitete i unaprjeđenja koji obuhvaća sve aspekte aktivnosti interne revizije te stalno prati njezinu učinkovitost. Ovaj program uključuje povremeno interno i vanjsko ocjenjivanje te stalno interno praćenje. Svaki dio programa mora biti kreiran tako da pomogne internoj reviziji da dobije na vrijednosti i da unaprijedi poslovanje organizacije, te da osigura jamstvo da je interna revizija obavljena u skladu sa Standardima i Etičkim kodeksom.
1310 – Ocjenjivanje programa kvalitete Interna revizija treba usvojiti postupak za praćenje i ocjenu cjelokupne učinkovitosti programa kvalitete. Postupak treba uključivati i interno i vanjsko ocjenjivanje.
1311 – Interno vrednovanje Interno vrednovanje mora uključivati:
• stalne kontrole radnog učinka (uspješnosti) interne revizije; i • povremene kontrole koje se provode putem samoprocjenjivanja
ili vrednovanja od strane drugih osoba u organizaciji koje posjeduju znanje o internoj reviziji i koje su upoznate sa Standardima.
1312 – Vanjsko vrednovanje Barem jednom u pet godina vanjsko vrednovanje treba provesti kvalificiran, neovisan ocjenjivač ili ocjenjivački tim izvan organizacije. O eventualnoj potrebi za učestalijim vanjskim vrednovanjem, kao i kvalifikacijama i neovisnosti vanjskog ocjenjivača ili ocjenjivačkog tima, uključujući mogući sukob interesa, trebaju raspraviti glavni revizor i uprava. U takvoj bi se raspravi također u obzir trebala uzeti veličina, složenost i djelatnost organizacije u odnosu na iskustvo ocjenjivača ili ocjenjivačkog tima.
1320 – Izvještavanje o programu kvalitete Glavni revizor mora obavijestiti upravu o rezultatima vanjskog vrednovanja.
1330 – Uporaba fraze „Provedeno u skladu sa Standardima“Interni revizori potiču se da u izvještajima navedu da su njihove radnje „provedene u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“.
41
Opći standardi
Međutim, interni revizori ovu izjavu smiju koristiti samo ako su ocjene programa unaprjeđenja kvalitete pokazale da interna revizija jest u skladu sa Standardima.
1340 – Obavijest o neusklađenosti Iako interna revizija treba u potpunosti biti u skladu sa Standardima, a interni revizori trebaju poštivati Etički kodeks, mogu se javiti slučajevi u kojima nije ostvarena potpuna usklađenost. Kada neusklađenost ima utjecaj na cjelokupan opseg ili provedbu interne revizije, o tome treba obavijestiti više rukovodeće osoblje i upravu.
43
STANDARDI IZVOĐENJA
2000 – Vođenje interne revizije
Glavni revizor mora učinkovito voditi internu reviziju kako bi se organizaciji osigurala dodana vrijednost.
2010 – Planiranje Glavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koju su dosljedni ciljevima organizacije.
2010.A1 – Planovi angažmana interne revizije trebaju se temeljiti na procjeni rizika koja se provodi barem jednom godišnje. U tom procesu u obzir treba uzeti komentare višeg menadžmenta i odbora.
2010.C1 – Glavni revizor mora razmotriti prihvaćanje predloženih konzultacijskih angažmana na osnovu potencijala takve preuzete obveze da unaprijedi upravljanje rizikom, doda vrijednosti i unaprijedi poslovanje organizacije. Prihvaćeni angažmani trebaju biti uključeni u plan.
2020 – Priopćavanje i odobrenjeGlavni revizor mora obavijestiti viši menadžment i odbor o planovima provedbe interne revizije i potrebama resursa, uključujući značajne privremene promjene, u svrhu kontrole i odobrenja. Glavni revizor također mora obavijestiti o utjecaju ograničenih resursa.
44
Okvir profesionalnog djelovanja
2030 – Upravljanje resursima Glavni revizor mora osigurati primjerenost resursa za internu reviziju, dostatnost te učinkovito raspoređivanje u svrhu postizanja odobrenog plana.
2040 – Politike i postupci Glavni revizor mora utvrditi politike i postupke kao smjernice za provedbu interne revizije.
2050 – Koordinacija Glavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim unutarnjim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te da bi se na najmanju moguću razinu svelo ponavljanje.
2060 – Podnošenje izvještaja upravi i višem menadžmentu Glavni revizor povremeno treba podnijeti izvještaj odboru ili višem menadžmentu o svrsi interne revizije, ovlastima, odgovornostima i učinku u odnosu na plan. Podnošenje izvještaja također treba uključivati značajne izloženosti riziku i pitanja kontrole, pitanja upravljanja poduzećem, te ostala potrebna pitanja koja traži odbor ili viši menadžment.
2100 – Priroda posla
Interna revizija dužna je vrednovati i doprinijeti unaprjeđenju postupaka upravljanja rizikom, kontrole i korporativnog upravljanja koristeći sustavan i discipliniran pristup.
2110 – Upravljanje rizicima Interna revizija trebala bi pomoći organizaciji tako što će identificirati i procijeniti značajne izloženosti riziku i doprinijeti unaprjeđenju upravljanja rizikom i sustavima kontrole.
2110.A1 – Interna revizija treba pratiti i procijeniti učinkovitost sustava upravljanja rizikom u organizaciji.
2110.A2 – Interna revizija treba dati ocjenu izloženosti riziku koja se odnosi na upravljanje organizacijom, poslovanje i informacijske sustave u pogledu:
• pouzdanosti i integriteta financijskih i operativnih informacija• učinkovitosti i djelotvornosti poslovanja• zaštiti imovine • poštivanju zakona, propisa i ugovora.
2110.C1 – Tijekom konzultacijskih angažmana interni revizori trebaju se baviti rizikom u skladu s ciljevima angažmana te trebaju obratiti pozornost na postojanje ostalih značajnih rizika.
45
Standardi izvođenja
2110.C2 – Interni revizori moraju objediniti znanje o rizicima stečeno tijekom savjetovanja u postupak utvrđivanja i procjene značajne izloženosti organizacije riziku.
2120 - KontrolaInterna revizija treba pomoći organizaciji u održavanju djelotvorne kontrole kroz procjenu učinkovitosti i djelotvornosti te kroz promicanje stalnog unaprjeđivanja.
2120.A1 – Na osnovu rezultata ocjene rizika, interna revizija mora procijeniti primjerenost i učinkovitost kontrole koje obuhvaćaju upravljanje organizacijom, njezino poslovanje i informacijske sustave. Ona bi trebala uključivati:
• pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• zaštitu imovine • poštivanje zakona, propisa i ugovora.
2120.A2 – Interni revizori moraju odrediti u kojem su opsegu ciljevi poslovanja i programa utvrđeni i sukladni ciljevima organizacije.
2120.A3 – Interni revizori moraju pregledati poslovanje i programe kako bi utvrdili opseg u kojem su rezultati dosljedni utvrđenim ciljevima i odredili provodi li se poslovanje i programi u skladu s namjeravanim.
2120.A4 – Za procjenu kontrole potrebni su primjereni kriteriji. Interni revizori trebaju odrediti opseg u kojem je rukovodstvo utvrdilo primjerene kriterije kako bi odredili jesu li ciljevi ispunjeni. Ako su primjereni, interni revizori moraju koristiti takve kriterije u svojoj procjeni. Ako nisu primjereni, interni revizori trebaju surađivati s rukovodstvom kako bi zajedno izradili primjerene kriterije za procjenu.
2120.C1 – Tijekom savjetovanja, interni revizori trebaju se baviti kontrolama u skladu s ciljevima angažmana te trebaju obratiti pozornost na postojanje bilo kakvih značajnih slabosti u kontrolama.
2120.C2 – Interni revizori trebaju objediniti znanje o kontrolama stečeno tijekom savjetovanja u postupak utvrđivanja i procjene značajne izloženosti organizacije riziku.
2130 – Korporativno upravljanje Interna revizija treba ocijeniti i dati primjerene preporuke za unaprjeđenje upravljanja u svrhu postizanja sljedećih ciljeva:
46
Okvir profesionalnog djelovanja
• promicanja odgovarajuće etike i vrijednosti unutar organizacije
• osiguranja djelotvorna upravljanja poslovanjem i odgovornosti u organizaciji
• učinkovita informiranja o riziku i kontrolama u odgovarajućim odjelima u organizaciji
• učinkovite koordinacije aktivnosti i protoka informacija između uprave, vanjskih i internih revizora, i rukovodstva.
2130.A1 – Interna revizija treba procijeniti ustroj, provedbu i učinkovitost ciljeva, programa i aktivnosti organizacije koji se odnose na etička pitanja.
2130.C1 – Ciljevi savjetovanja trebaju biti dosljedni sveukupnim vrijednostima i ciljevima organizacije.
2200 – Planiranje angažmana
Interni revizori trebaju izraditi i evidentirati plan za svaki angažman, uključujući opseg, ciljeve, vrijeme i raspodjelu sredstava.
2201 – Uvjeti planiranjaU planiranju posla interni revizori u obzir trebaju uzeti:
• ciljeve djelatnosti koja se kontrolira i sredstva pomoću kojih ta djelatnost nadzire svoj učinak
• značajne rizike za djelatnost, njezine ciljeve, sredstva i poslovanje kao i sredstva pomoću kojih se utjecaj mogućeg rizika održava na prihvatljivoj razini.
• primjerenost i učinkovitost upravljanja rizikom i kontrolnih sustava za tu djelatnost u usporedbi s odgovarajućim upravljačkim okvirom ili modelom
• prilike za značajno unaprjeđenje upravljanja rizikom i sustava kontrole za tu djelatnost.
2201.A1 – Prilikom planiranja angažmana za stranke izvan organizacije, interni revizori s njima trebaju sklopiti pisani sporazum o ciljevima, pojedinačnim odgovornostima i ostalim očekivanjima, uključujući ograničenja distribucije rezultata angažmana i pristup evidenciji o obavljenom poslu.
2201.C1 – Interni revizori trebaju sklopiti sporazum s klijentom kojem pružaju savjetovanje o ciljevima, opsegu, pojedinačnim odgovornostima i ostalim očekivanjima klijenta. U slučaju značajnijih angažmana, takav sporazum treba biti dokumentiran.
47
Standardi izvođenja
2210 – Ciljevi angažmana Za svaki je angažman potrebno utvrditi ciljeve.
2210.A1 – Interni revizori trebaju provesti preliminarnu procjenu rizika koji su relevantni za djelatnost koja se kontrolira. Ciljevi angažmana trebaju odražavati rezultate te ocjene.
2210.A2 – Interni revizor u obzir treba uzeti vjerojatnost značajnih grešaka, nepravilnosti, neusklađenosti i ostalih izloženosti prilikom izrade ciljeva angažmana.
2210.C1 – Ciljevi konzultacijskog angažmana trebaju se odnositi na rizike, kontrolu i upravljanje u opsegu u kojem se postigne dogovor s klijentom.
2220 – Opseg posla Utvrđen opseg treba biti dovoljan kako bi se zadovoljili ciljevi angažmana.
2220.A1 – U opsegu posla u obzir treba uzeti odgovarajuće sustave, evidencije, osoblje i materijalnu imovinu, uključujući one koje su pod nazorom trećih strana.
2220.A2 – Ako se tijekom provjere pruži prilika za važnu konzultaciju, treba zaključiti poseban pisani sporazum u pogledu ciljeva, opsega, odgovornosti i ostalih očekivanja, a rezultate konzultacije treba priopćiti u skladu sa standardima konzultacije.
2220.C1 – Tijekom konzultacijskog angažmana interni revizori trebaju osigurati da je opseg posla dovoljan za ispunjavanje dogovorenih ciljeva. Ako tijekom angažmana interni revizori uvide neka ograničenja u vezi s opsegom, o tim ograničenjima trebaju raspraviti s klijentom kako bi utvrdili treba li nastaviti s obavljanjem posla.
2230 – Raspoređivanje resursa za poslovni angažman Interni revizori trebaju odrediti odgovarajuće resurse u svrhu postizanja ciljeva angažmana. Broj osoblja treba se temeljiti na procjeni prirode i složenosti svakog angažmana, vremenskih ograničenja i raspoloživih sredstava.
2240 – Program radaInterni revizori trebaju izraditi programe rada temeljem kojih se ostvaruju ciljevi posla. Predmetne programe treba evidentirati.
2240.A1 – U programima rada treba utvrditi postupke za određivanje, analizu, procjenu i evidentiranje informacija tijekom obavljanja posla. Program rada
48
Okvir profesionalnog djelovanja
treba biti odobren prije provedbe, a bilo kakve prilagodbe treba odobriti bez odgađanja.
2240.C1 – Programi rada za konzultacijske angažmane mogu se razlikovati prema sadržaju, ovisno o prirodi posla.
2300 – Obavljanje angažmana
Interni revizori trebaju utvrditi, analizirati, procijeniti i evidentirati dovoljno informacija kako bi postigli ciljeve angažmana.
2310 – Utvrđivanje informacija Interni revizori trebaju utvrditi dovoljne, pouzdane, relevantne i korisne informacije u svrhu postizanja ciljeva posla.
2320 – Analiza i procjena Interni revizori trebaju temeljiti zaključke i rezultate u sklopu angažmana na odgovarajućim analizama i procjenama.
2330 – Evidentiranje informacija Interni revizori trebaju evidentirati relevantne informacije koje potkrjepljuju zaključke i rezultate angažmana.
2330.A1 – Glavni revizor treba nadzirati pristup evidenciji obavljenih angažmana. Glavni revizor, prema potrebi, treba pribaviti odobrenje višeg menadžmenta i/ili pravnog zastupnika prije objave takvih podataka vanjskim strankama.
2330.A2 – Glavni revizor treba sastaviti zahtjeve za čuvanjem dokumenata o angažmanu. Predmetni zahtjevi za čuvanjem trebaju biti u skladu sa smjernicama organizacije i bilo kojim odgovarajućim regulatornim i drugim zahtjevima.
2330.C1 – Glavni revizor treba izraditi politike koje uređuju kontrolu i čuvanje dokumenata o angažmanu kao i njihovo objavljivanje unutarnjim i vanjskim strankama. Predmetne politike trebaju biti u skladu sa smjernicama organizacije i bilo kojim odgovarajućim regulatornim i drugim zahtjevima.
2340 – Nadzor angažmana Posao treba propisno nadzirati kako bi se osiguralo postizanje ciljeva, osiguranje kvalitete i unaprjeđenje osoblja.
49
Standardi izvođenja
2400 – Priopćavanje rezultata
Interni revizori trebaju priopćiti rezultate nakon dovršetka angažmana. 2410 – Kriteriji priopćavanjaU priopćenjima moraju biti navedeni ciljevi angažmana i opseg, te valjani zaključci, preporuke i akcijski planovi.
2410.A1 – Završno priopćenje o rezultatima angažmana treba, prema potrebi, sadržavati cjelokupno mišljenje internog revizora i/ili zaključke.
2410.A2 – Interni revizori potiču se da u priopćenju o angažmanima istaknu zadovoljavajući učinak (uspjeh).
2410.A3 – Prilikom objave rezultata nakon angažmana strankama izvan organizacije, u priopćenju treba navesti ograničenja u pogledu distribucije i korištenja rezultata.
2410.C1 – Priopćenje o napretku i rezultatima konzultacije razlikovat će se po obliku i sadržaju ovisno o prirodi posla i potrebama klijenta.
2420 – Kvaliteta priopćavanja Priopćenja trebaju biti točna, objektivna, jasna, sažeta, konstruktivna, potpuna i pravovremena.
2421 – Greške i propusti Ako završno priopćenje sadrži značajnu grešku ili propust, glavni revizor treba dostaviti ispravljene informacije svim strankama koje su dobile prvotno priopćenje.
2430 – Izjava o neusklađenosti angažmana sa Standardima Kada neusklađenost sa Standardima utječe na pojedini angažman, u obavijesti o rezultatima treba navesti:
• Standard(e) s kojima nije postignuta potpuna usklađenost.• razlog(e) neusklađenosti, i • utjecaj neusklađenosti na angažman.
2440 – Distribucija rezultataGlavni revizor treba obavijestiti relevantne stranke o rezultatima.
2440.A1 – Glavni revizor odgovoran je za priopćavanje konačnih rezultata strankama koje su odgovorne za daljnje postupanje s njima.
50
Okvir profesionalnog djelovanja
2440.A2 – Ako pravni, zakonski ili regulatorni zahtjevi ne propisuju drukčije, prije objave rezultata strankama izvan organizacije glavni revizor treba:
• ocijeniti potencijalni rizik za organizaciju• konzultirati se s višim menadžmentom i/ili pravnim zastupnikom
po potrebi• nadzirati distribuciju kroz ograničenje korištenja rezultata.
2440.C1 – Glavni revizor odgovoran je za priopćavanje konačnih rezultata savjetovanja klijentima.
2440.C2 – Tijekom konzultacijskih angažmana mogu se utvrditi problemi upravljanja rizikom, kontrole i korporativnog upravljanja. Kada god su ta pitanja važna za organizaciju, o njima treba obavijestiti viši menadžment i odbor.
2500 – Praćenje napretka
Glavni revizor treba utvrditi i održavati sustav za praćenje postupanja s rezultatima koji su priopćeni rukovodstvu.
2500.A1 – Glavni revizor treba utvrditi nastavne aktivnosti u sklopu praćenja kako bi osigurao da su radnje koje odredi rukovodstvo uspješno provedene, ili da je viši menadžment na sebe preuzelo rizik nepoduzimanja radnji.
2500.C1 – Interna revizija treba pratiti postupanje s rezultatima savjetovanja u opsegu koji je dogovoren s klijentom.
2600 – Odluka uprave o prihvaćanju rizika
Kada glavni revizor smatra da je viši menadžment prihvatio stupanj preostalog rizika koji može biti neprihvatljiv organizaciji, glavni revizor o tom pitanju treba raspraviti s višim menadžmentom. Ako se odluka o preostalom riziku ne riješi, glavni revizor i viši menadžment stvar predaju na rješavanje odboru.
51
POJMOVNIK
Dodavanje vrijednosti
Vrijednost je osigurana kroz unaprjeđenje prilika za postizanje ciljeva organizacije, određivanje poboljšanja u poslovanju, i/ili smanjenje izloženosti riziku kroz usluge provjere i savjetovanja.
Primjerena kontrola
Prisutna je ako ju je rukovodstvo isplaniralo i organiziralo (osmislilo) na način koji osigurava prihvatljivo uvjerenje o djelotvornom upravljanju rizicima u organizaciji, te da će se ciljevi organizacije postići na učinkovit i ekonomičan način.
Usluge provjere
Objektivno ispitivanje dokaza kako bi se organizaciji osigurala neovisna ocjena o postupcima upravljanja rizikom, kontrole i korporativnog upravljanja. Primjeri mogu uključivati angažmane koji se odnose na financije, radnu učinkovitost, usklađenost, sigurnost sustava i dužnu pozornost.
Odbor
Odbor je upravljačko tijelo organizacije, na primjer upravni odbor, nadzorni odbor, čelnik agencije ili zakonodavnog tijela, vijeće guvernera ili povjerenika neprofitne organizacije, ili bilo koje drugo imenovano tijelo u organizaciji, uključujući i odbor za reviziju, kojemu glavni revizor može podnositi izvještaj.
52
Okvir profesionalnog djelovanja
Povelja
Povelja o internoj reviziji je formalni pisani dokument u kojem je definirana svrha djelatnosti, njezine ovlasti i odgovornosti. Povelja bi trebala (a) utvrditi položaj interne revizije unutar organizacije; (b) dati ovlast za pristup dokumentima, osoblju i materijalnoj imovini koji su važni za provođenje angažmana, i (C) definirati opseg radnji u okviru interne revizije.
Glavni revizor
Predstavlja najviši položaj unutar organizacije koja je odgovorna za internu reviziju. Obično je to voditelj interne revizije. U slučaju da se za internu reviziju angažira vanjski pružatelj usluga, glavni revizor je osoba koja je odgovorna za nadzor ugovora o uslugama i cjelokupno osiguranje kvalitete tih aktivnosti, podnošenje izvještaja višem menadžmentu i odboru o aktivnostima interne revizije, kao i prateće aktivnosti s obzirom na rezultate angažmana. Pojam također uključuje i funkcije šefa revizije, glavnog internog revizora i glavnog inspektora.
Etički kodeks
Etički kodeks Instituta internih revizora (IIA) predstavlja načela koja su relevantna za djelatnost i provođenje interne revizije i pravila ponašanja koja opisuju kakvo se ponašanje očekuje od internih revizora. Etički kodeks odnosi se na stranke i subjekte koji pružaju usluge interne revizije. Svrha je Etičkog kodeksa promicanje etičke kulture u globalnoj djelatnosti interne revizije.
Usklađenost
Predstavlja usklađenost i poštivanje politika, planova, postupaka, zakona, propisa, ugovora i ostalih zahtjeva.
Sukob interesa
Bilo kakav odnos koji nije ili se čini da nije u najboljem interesu organizacije. Sukob interesa dovodi u pitanje sposobnost pojedinca da objektivno obavlja svoje dužnosti i odgovornosti.
Konzultacijske usluge
Usluge savjetovanja i srodne usluge za klijenta čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka upravljanja organizacijom, upravljanja rizikom i nadzora, a da pritom interni revizor ne
53
Pojmovnik
preuzima odgovornost rukovodstva. Primjeri uključuju zastupanje, savjetovanje, potporu te usavršavanje i osposobljavanje.
Kontrola
Svaka radnja koju poduzme rukovodstvo, uprava i druge stranke u svrhu upravljanja rizikom i povećanja vjerojatnosti za postizanje utvrđenih ciljeva. Rukovodstvo planira, organizira i usmjerava izvršavanje dostatnih radnji u svrhu osiguranja da će ciljevi biti postignuti.
Kontrolno okruženje
Stav i radnje uprave i rukovodstva u pogledu važnosti kontrole u organizaciji. Kontrolno okruženje osigurava disciplinu i strukturu za postizanje osnovnih ciljeva sustava interne kontrole. Kontrolno okruženje uključuje sljedeće elemente:
• integritet i etičke vrijednosti • stav rukovodstva i način poslovanja • ustroj organizacije• određivanje ovlasti i odgovornosti • politika i praksa upravljanja ljudskim potencijalima • stručnost osoblja.
Kontrolne aktivnosti
Politike, postupci i radnje koje su dio kontrolnog okvira, osmišljene kako bi osigurale zadržavanje rizika u okvirima tolerancije koji su utvrđeni u postupku upravljanja rizikom.
Angažman
Poseban zadatak, zadaća ili pregled za internu reviziju kao što je interna revizija, provjera samoprocjenjivanja, istraživanje prijevara ili savjetovanje. Angažman može obuhvaćati višestruke zadatke ili radnje koje su osmišljene tako da ostvare poseban skup povezanih ciljeva.
Ciljevi angažmana
Sveobuhvatne izjave koje sastave interni revizori u kojima su definirana postignuća u okviru angažmana.
54
Okvir profesionalnog djelovanja
Program rada u sklopu angažmana
Dokument u kojem se navode postupci kojih se treba pridržavati tijekom angažmana, a sastavljen je u svrhu ostvarivanja plana angažmana.
Vanjski pružatelj usluga
Osoba ili poduzeće, izvan organizacije, koje posjeduje posebno znanje, vještine ili iskustvo u određenoj disciplini.
Prijevara
Bilo koja nezakonita radnja koju karakterizira varanje, prikrivanje ili povrjeda povjerenja. Te radnje ne ovise o prijetnjama nasiljem ili fizičkom silom. Prijevare čine stranke ili organizacije u svrhu stjecanja novca, imovine ili usluga; u svrhu izbjegavanja plaćanja ili gubitka usluga; ili u svrhu osiguranja osobne ili poslovne koristi.
Korporativno upravljanje
Kombinacija postupaka i struktura koje provodi uprava u svrhu informiranja, usmjeravanja, rukovođenja i praćenja aktivnosti organizacije radi postizanja ciljeva.
Narušavanje
Narušavanje individualne objektivnosti i organizacijske neovisnosti mogu uključivati osobni sukob interesa, ograničenja opsega, ograničenje pristupa dokumentima, osoblju i imovini, te ograničenje resursa (financiranja).
Neovisnost
Nepostojanje uvjeta koji ugrožavaju objektivnost ili dojam objektivnosti. Takvo ugrožavanje objektivnosti mora se riješiti na razini pojedinog revizora, angažmana, funkcije ili organizacije.
Interna revizija
Odjel, odsjek, skupina savjetnika ili ostalih profesionalca koji pružaju usluge neovisne i objektivne provjere ili savjetovanja radi dodavanja vrijednosti i unaprjeđenja poslovanja organizacije. Interna revizija pomaže organizaciji da postigne svoje ciljeve kroz sustavan i discipliniran pristup radi procjene i unaprjeđenja učinkovitosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.
55
Pojmovnik
Objektivnost
Nepristran stav koji omogućuje internim revizorima obavljanje angažmana na takav način da iskreno vjeruju u produkt svojega rada i da nije bilo značajnijih kompromisa u pogledu kvalitete. Objektivnost zahtijeva od internih revizora da svoje prosudbe u pitanjima revizije ne podređuju prosudbama drugih.
Preostali rizik
Rizik koji preostaje nakon što rukovodstvo poduzme radnje kako bi se smanjio utjecaj ili vjerojatnost od štetnog događaja, uključujući kontrolne aktivnosti kao odgovor na rizik.
Rizik
Mogućnost nastanka događaja koji će utjecati na postizanje ciljeva. Rizik se mjeri u kontekstu utjecaja i vjerojatnosti.
Upravljanje rizikom
Postupak identifikacije, ocjene, upravljanja i nadzora nad mogućim događajima ili situacijama u svrhu primjerena osiguranja postizanja ciljeva organizacije.
Trebati
Korištenje riječi „treba“ u Standardima predstavlja obvezu.
Standard
Stručna objava koju proglasi Odbor za standarde interne revizije u kojoj se navode zahtjevi za obavljanje širokog raspona radnji u sklopu interne revizije, kao i za procjenu učinkovitosti (uspješnosti) interne revizije.
58
Okvir profesionalnog djelovanja
Preporuka za rad 1000-1:Povelja o internoj reviziji
Tumačenje Standarda 1000 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1000 – Svrha, ovlasti i odgovornosti Svrhu, ovlasti i odgovornosti interne revizije treba formalno definirati u povelji, koja mora biti u skladu sa Standardima i koju odobri uprava.
Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge prilikom usvajanja povelje o internoj reviziji. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom usvajanja povelje, nego jednostavno skup preporučenih savjeta koje treba uzeti u obzir.
1. Svrhu, ovlasti i odgovornosti interne revizije treba definirati u povelji. Glavni revizor od višeg menadžmenta treba zatražiti odobrenje povelje, a od odbora suglasnost. Odobrenje povelje treba biti zabilježeno u zapisniku upravnog tijela. Povelja treba (a) utvrditi položaj interne revizije unutar organizacije; (b) dati ovlaštenje za pristup dokumentima, osoblju i materijalnoj imovini koja je važna za obavljanje posla; i (c) definirati opseg radnji u sklopu interne revizije.
2. Povelju o internoj reviziji treba sastaviti u pisanom obliku. Pisana izjava predstavlja službeni dokument koji pregledava i odobrava rukovodstvo, a na koji odbor daje suglasnost. Također omogućava povremenu ocjenu primjerenosti svrhe, ovlasti i odgovornosti interne revizije. Formalni, pisani dokument u kojem je sadržana povelja o internoj reviziji ključan je za upravljanje funkcijom revizije unutar organizacije. Svrhu, ovlasti i odgovornosti treba definirati i objaviti kako bi se utvrdila uloga interne revizije i kako bi se rukovodstvu i odboru osigurao temelj koji mogu koristiti za evaluaciju poslovanja te funkcije. U slučaju da se postavi to pitanje, povelja također osigurava formalan, pisan sporazum s rukovodstvom i odborom o ulozi i odgovornostima interne revizije unutar organizacije.
3. Glavni revizor povremeno treba ocijeniti jesu li svrha, ovlasti i odgovornosti, temeljem definicije u povelji, i dalje adekvatne kako bi omogućile internoj reviziji postizanje ciljeva. O rezultatima povremenih ocjena treba obavijestiti viši menadžment i odbor.
59
Preporuke za rad
Preporuka za rad 1000.C1-1:Smjernice internim revizorima
za obavljanje konzultacija
Tumačenje Standarda 1000.C1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.
Priroda ove preporuke za rad - definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo internog revizora da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju kako angažmane provjere tako i savjetovanja.
Preporuka se odnosi na sveobuhvatne parametre koje treba uzeti u obzir u svim konzultacijskim angažmanima. Savjetovanje može obuhvaćati raspon od formalnih angažmana koji su utvrđeni u pisanim sporazumima pa do konzultacijskih radnji, kao što je na primjer sudjelovanje u stalnim ili privremenim upravnim odborima ili projektnim timovima. Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Posebni konzultacijski angažmani, na primjer sudjelovanje u projektu spajanja ili preuzimanja, ili u hitnim angažmanima, na primjer ponovno uspostavljanje poslovanja nakon prirodnih nepogoda, mogu zahtijevati odstupanje od uobičajenih ili utvrđenih postupaka za provođenje konzultacijskih angažmana.
Interni revizori u obzir trebaju uzeti sljedeće smjernice prilikom obavljanja konzultacijskih angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, a interni revizori moraju poduzeti posebne mjere da utvrde kako rukovodstvo i uprava razumiju i da su suglasni s konceptom, operativnim smjernicama i priopćenjima koji se zahtijevaju u svrhu pružanja usluga savjetovanja.
1. Pretpostavka vrijednosti – pretpostavka vrijednosti interne revizije ostvaruje se unutar svake organizacije koja zapošljava interne revizore na način koji je primjeren kulturi i resursima predmetne organizacije. Ta pretpostavka vrijednosti sadržana je u
60
Okvir profesionalnog djelovanja
definiciji interne revizije i obuhvaća provjere i savjetovanja kojima je cilj dodavanje vrijednosti organizaciji kroz uvođenje sustavna, disciplinirana pristupa u područjima korporativnog upravljanja, rizika i kontrole.
2. Dosljednost sa definicijom interne revizije – disciplinirana i sustavna metodologija procjene dio je svake aktivnosti interne revizije. Popis usluga u načelu može biti objedinjen u sveobuhvatnim kategorijama provjere i savjetovanja. Međutim, usluge također mogu uključivati i dinamične oblike usluga koje dodaju vrijednost i koje su u skladu sa širom definicijom interne revizije.
3. Revizijske aktivnosti (osim provjere i savjetovanja) – postoji više vrsta usluga interne revizije. Provjera i savjetovanje ne isključuju jedno drugo i ne sprječavaju ostale revizijske usluge kao što su istražni postupci i uloge nevezane uz reviziju. Mnoge revizijske usluge istovremeno imaju ulogu i provjere i savjetovanja.
4. Odnos između provjere i savjetovanja – savjetovanje u okviru interne revizije obogaćuje internu reviziju koja dodaje vrijednost. Iako je savjetovanje često izravan rezultat usluga provjere, potrebno je uvidjeti kako provjera može biti rezultat konzultacijskih angažmana.
5. Ovlastiti savjetovanje u povelji o internoj reviziji – interni revizori tradicionalno pružaju razne vrste konzultacijskih usluga u rasponu od analize kontrola koje su ugrađene u sustave u razvoju, analize sigurnosnih proizvoda, sudjelovanja u radnim skupinama u svrhu analize poslovanja i davanja preporuka i tako dalje. Uprava (ili odbor za reviziju) treba dati ovlasti internoj reviziji za pružanje dodatnih usluga kada iste ne predstavljaju sukob interesa ili umanjuju obveze prema odboru. To ovlaštenje treba biti navedeno u povelji o internoj reviziji.
6. Objektivnost – usluge savjetovanja mogu poboljšati revizorovo shvaćanje poslovnih procesa ili pitanja koja su povezana s angažmanom provjere i nužno ne narušavaju objektivnost revizora ili interne revizije. Interna revizija nije rukovodeća funkcija za donošenje odluka. Odluke o usvajanju ili provođenju preporuka na osnovu rezultata usluga savjetovanja interne revizije treba donijeti rukovodstvo. Dakle, odluke koje donosi rukovodstvo ne bi trebale narušiti objektivnost interne revizije.
7. Zaklada interne revizije za konzultacijske usluge – velik dio savjetovanja prirodan je nastavak provjere i istražnih radnji, a može predstavljati formalne ili neformalne savjete, analize ili ocjene. Interna revizija ima jedinstvenu mogućnost za pružanje ovakvog oblika savjetovanja na osnovu (a) poštivanja najviših standarda objektivnosti i (b) širine znanja o organizacijskim procesima, rizicima i strategijama.
8. Izvještavanje o osnovnim informacijama – primarna vrijednost interne revizije je davanje potvrde višem menadžmentu i odboru za reviziju. Savjetovanje nije moguće provesti na način da se prikriju informacije o kojima prema mišljenju glavnog
61
Preporuke za rad
revizora treba obavijestiti više rukovoditelje i članove uprave. Svako savjetovanje treba shvatiti u tom kontekstu.
9. Načela savjetovanja kako ih shvaća organizacija – organizacije moraju imati osnovna pravila za pružanje konzultacijskih usluga koje razumiju svi članovi organizacije, a ta se pravila trebaju sistematizirati u povelji o reviziji koju odobri odbor za reviziju i proglasi organizacija.
10. Formalni konzultacijski angažmani – rukovodstvo često angažira vanjske konzultante za formalne konzultacijske angažmane koji traju dulje vrijeme. Međutim, organizacija može uvidjeti da je interna revizija kvalificirana za provedbu nekih konzultacijskih zadaća. Ako interna revizija prihvati formalan konzultacijski angažman, skupina internih revizora provedbi angažmana mora pristupiti sustavno i disciplinirano.
11. Odgovornosti glavnog revizora – konzultacijske usluge omogućuju glavnom revizoru da kroz razgovor s rukovodstvom dobije odgovore na neka posebna pitanja rukovođenja. U tom dijalogu opseg angažmana i rokovi se prilagođavaju potrebama rukovodstva. Međutim, glavni revizor zadržava pravo određivanja revizijskih tehnika i ispravnog podnošenja izvještaja višim rukovoditeljima i članovima revizijskog odbora kada priroda i materijalnost rezultata predstavljaju značajne rizike za organizaciju.
12. Kriteriji za rješavanje sukoba ili rastućih problema – interni revizor prije svega je interni revizor. Dakle, prilikom pružanja bilo kakvih usluga interni revizor postupa u skladu s Etičkim kodeksom IIA-e te općim standardima i standardima izvođenja iz Međunarodnih standarda za stručnu provedbu interne revizije (Standardi). Bilo kakve nepredviđene sukobe ili radnje treba riješiti u skladu s Etičkim kodeksom i Standardima.
62
Okvir profesionalnog djelovanja
Preporuka za rad 1000.C1-2:Dodatni uvjeti za formalna savjetovanja
Tumačenje Standarda 1000.C1 (i ostalih povezanih Provedbenih standarda za konzultacije) iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.
Posebna napomena u vezi s ovom preporukom za rad i u vezi sa Standardima. Ova preporuka za rad obuhvaća smjernice koje se odnose na Provedbene standarde za konzultacije. Osim Standarda 1000.C1, smjernice također obuhvaćaju Standarde 1130.C1 i C2; 1210.C1; 1220.C1; 2010.C1; 2110.C1 i C2; 2120.C1 i C2; 2130.C1; 2201.C1; 2210.C1; 2220.C1; 2240.C1; 2330.C1; 2410.C1; 2440.C1 i C2; i 2500.C1. Reference na te Standarde prikazane su u zagradama uz naslove u ovoj preporuci za rad.
Priroda ove preporuke za rad: ova preporuka za rad po svojoj je temi slična preporuci 1000.C1-1, koja razmatra načela za pružanje konzultacijskih usluga i obje su preporuke korisne internim revizorima u obavljanju savjetovanja. Definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo interne revizore da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju i angažmane provjere i savjetovanja.
Ova preporuka odnosi se na sveobuhvatne parametre koje treba uzeti u obzir u svim konzultacijskim angažmanima. Savjetovanje može obuhvaćati raspon od formalnih angažmana koji su utvrđeni u pisanim sporazumima, pa do konzultacijskih radnji, kao što je na primjer sudjelovanje u stalnim ili privremenim upravnim odborima ili projektnim timovima. Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Posebni konzultacijski angažmani, na primjer sudjelovanje u projektu spajanja ili preuzimanja, ili u hitnim angažmanima (na primjer, ponovno uspostavljanje poslovanja nakon prirodnih nepogoda), mogu zahtijevati odstupanje od uobičajenih ili utvrđenih postupaka za provođenje konzultacijskih angažmana.
63
Preporuke za rad
Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom obavljanja savjetovanih angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, a interni revizori moraju poduzeti posebne mjere da utvrde kako rukovodstvo i uprava razumiju i kako su suglasni s konceptom, operativnim smjernicama i priopćenjima koja se zahtijevaju u svrhu pružanja usluga savjetovanja.
Definicija konzultacijskih usluga
1. U Pojmovniku Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) „konzultacijske usluge“ definirane su na sljedeći način: „Usluge savjetovanja i srodne usluge koje se pružaju klijentu čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka upravljanja organizacijom, upravljanja rizikom i kontrole, a da pritom interni revizor ne preuzima odgovornost rukovođenja. Primjeri uključuju zastupanje, savjetovanje, potporu i stručno osposobljavanje i usavršavanje.“
2. Glavni revizor treba odrediti metodologiju koja će se koristiti za klasificiranje angažmana unutar organizacije. U nekim okolnostima može biti prikladan „mješoviti“ angažman u koji su uključeni i elementi savjetovanja i provjere koji zajedno čine jedan integriran pristup. U drugim slučajevima može biti primjereno napraviti razliku između provjere i savjetovanja kao zasebnih elemenata angažmana.
3. Interni revizori mogu pružati usluge savjetovanja kao dio uobičajenih ili rutinskih aktivnosti, ali i kao odgovor na zahtjev rukovodstva. Svaka organizacija u obzir treba uzeti vrstu konzultacijskih aktivnosti koje će ponuditi te odrediti je li potrebno izraditi posebne smjernice ili postupke za svaku od aktivnosti. Moguće kategorije mogu uključivati:
• formalne konzultacijske angažmane – planirani su i u skladu s pisanim ugovorom • neformalne konzultacijske angažmane – rutinske radnje, kao na primjer sudjelovanje u stalnim odborima, projektima s ograničenim trajanjem, na ad hoc sastancima i rutinska razmjena informacija• posebne konzultacijske angažmane – sudjelovanje u timovima koji rade na udruživanju ili preuzimanju, ili tima za preoblikovanje sustava• hitne konzultacijske angažmane – sudjelovanje u timu koji je osnovan u svrhu oporavka ili održavanja poslovanja nakon prirodnih nepogoda ili drugog izvanrednog poslovnog događaja, ili tim koji je okupljen kako bi privremeno pružio pomoć u svrhu ispunjavanja posebnog zahtjeva ili neuobičajenog roka.
4. U načelu, revizori ne trebaju pristati na konzultacijski angažman samo zato da bi se zaobišli, ili da se drugima omogući zaobilaženje, zahtjeva koji se inače primjenjuju na provjeru, ako je predmetnu uslugu primjerenije pružiti u obliku provjere. Ovo ne isključuje prilagođavanje metodologija u slučaju da se nakon što je usluga pružena u obliku provjere smatra prikladnijim da bude u obliku savjetovanja.
64
Okvir profesionalnog djelovanja
Neovisnost i objektivnost u konzultacijskim angažmanima (Standard 1130.C1)
5. Od internih se revizora katkada zahtijevaju konzultacijske usluge koje se odnose na poslove za koje su prethodno bili odgovorni ili u vezi kojih su pružali usluge provjere. Prije no što ponudi konzultacijske usluge, glavni revizor treba potvrditi da uprava razumije i prihvaća poimanje pružanja usluga savjetovanja. Nakon odobrenja, povelju o internoj reviziji treba izmijeniti i dopuniti tako da uključuje ovlasti i odgovornosti za usluge savjetovanja, a interna revizija treba izraditi prikladne smjernice i postupke za provođenje takvih angažmana.
6. Interni revizori trebaju zadržati objektivnost prilikom donošenja zaključaka i savjetovanja rukovodstva. Ako postoji narušavanje neovisnosti ili objektivnosti prije početka konzultacijskog angažmana, ili ako do njega dođe tijekom angažmana, o tome je potrebno bez odgađanja obavijestiti rukovodstvo.
7. Neovisnost i objektivnost mogu biti narušene ako se u roku od godine dana nakon formalnog angažmana savjetovanja pružaju usluge provjere. Moguće je poduzeti korake kako bi se na najmanju moguću mjeru sveli učinci narušavanja tako što će za svaku uslugu biti angažirani drugi revizori, uspostavom neovisnog rukovodstva i nadzora, definiranjem zasebne odgovornosti za projektne rezultate, i obavijest o pretpostavljenom narušavanju. Rukovodstvo treba biti odgovorno za prihvaćanje i provedbu preporuka.
8. Osobito u konzultacijskim angažmanima koji su u tijeku ili kontinuirani, treba obratiti pozornost kako interni revizori ne bi neprimjereno ili nenamjerno preuzeli odgovornosti rukovodstva koje nisu zacrtane u izvornim ciljevima i opsegu angažmana.
Dužna profesionalna pozornost u savjetovanjima (Standardi 1210.C1, 1220.C1, 2130.C1 i 2201.C1)
9. Interni revizor treba postupati s dužnom profesionalnom pozornošću u provođenju formalnog savjetovanja uz razumijevanje sljedećeg: • potrebe rukovodećih dužnosnika, uključujući prirodu, vrijeme i obavještavanje
o rezultatima angažmana• moguće motive i razloge onih koji traže uslugu • opseg potrebnog posla za ostvarivanje ciljeva angažmana • vještine i resurse koji su potrebni za obavljanje angažmana • učinak na opseg plana revizije koji je prethodno odobrio odbor za reviziju • mogući utjecaj na buduće revizijske zadatke i angažmane• moguće dobrobiti za organizaciju koje proizlaze iz angažmana.
65
Preporuke za rad
10. Osim opisane procjene neovisnosti i objektivnosti i dužne profesionalne pozornosti, interni revizor treba: • održati potrebne sastanke i prikupiti potrebne informacije za ocjenu prirode i
opsega usluge koju treba pružiti• potvrditi da oni kojima se usluga pruža shvaćaju i da su suglasni s relevantnim
smjernicama koje su sadržane u povelji o internoj reviziji, politikama i postupanju interne revizije, i ostalim relevantnim smjernicama koje uređuju provedbu savjetovanja; interni revizor mora odbiti savjetovanja koja su zabranjena temeljem povelje o internoj reviziji, koja su u suprotnosti s politikama i postupcima interne revizije, ili koja ne dodaju vrijednost i nisu u najboljem interesu organizacije
• procijeniti je li savjetovanje u skladu s cjelokupnim planom angažmana interne revizije; planovi angažmana interne revizije na temelju rizika mogu sadržavati i oslanjati se na konzultacijske angažmane, u opsegu koji smatraju primjerenim, kako bi osigurali potreban obuhvat organizacije revizijom
• zabilježiti opće uvjete, sporazume, očekivane rezultate i ostale ključne čimbenike formalnog savjetovanja u pisanom ugovoru ili planu; prijeko je potrebno da i interni revizor i subjekti kojima se pruža usluga savjetovanja razumiju i da su suglasni sa zahtjevima izvještavanja i priopćavanja.
Opseg posla u konzultacijskim angažmanima(Standardi 2010.C1, 2110.C1 i C2, 2120.C1 i C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1, i 2440.C2)
11. Kao što je ranije navedeno, interni revizori trebaju postići sporazum o ciljevima i opsegu savjetovanja sa subjektima kojima se pruža ta usluga. Bilo kakve rezerve u pogledu vrijednosti, koristi ili mogućim negativnim posljedicama savjetovanja treba priopćiti subjektima kojima se usluga pruža. Interni revizori moraju planirati opseg posla u svrhu osiguranja profesionalnosti, integriteta, vjerodostojnosti i očuvanja ugleda djelatnosti interne revizije.
12. Prilikom planiranja formalnih konzultacijskih angažmana, interni revizori ciljeve moraju planirati tako da udovoljavaju odgovarajućim potrebama rukovodećih dužnosnika kojima se usluge pružaju. U slučaju da rukovodstvo ima posebne zahtjeve, interni revizori mogu u obzir uzeti sljedeće radnje, ukoliko vjeruju da ciljevi koje treba ispuniti prelaze zahtjeve rukovodstva: • uvjeriti rukovodstvo da uključe dodatne ciljeve u savjetovanje • dokumentirati činjenicu da ti ciljevi nisu ostvareni i navesti to zapažanje u
završnom priopćenju o rezultatima savjetovanja• uključiti ciljeve u zaseban naknadni angažman provjere.
13. Radni programi za konzultacijske angažmane moraju zabilježiti ciljeve i opseg angažmana kao i metodologiju koja će se koristiti za ispunjenje ciljeva. Oblik i sadržaj programa mogu se razlikovati ovisno o prirodi angažmana. Prilikom
66
Okvir profesionalnog djelovanja
utvrđivanja opsega angažmana, interni revizori mogu proširiti ili ograničiti opseg kako bi udovoljili zahtjevima rukovodstva. Međutim, interni revizor mora biti siguran da će predviđen opseg posla biti dovoljan za ispunjavanje ciljeva angažmana. Ciljeve, opseg i uvjete angažmana treba povremeno preispitati i prilagoditi tijekom obavljanja posla.
14. Interni revizori moraju pozorno pratiti učinkovitost upravljanja rizikom i postupke kontrole tijekom formalnog savjetovanja. Značajne izloženosti riziku ili materijalne slabosti u kontroli treba istaknuti rukovodstvu. U nekim situacijama zabrinutost revizora treba priopćiti i izvršnom menadžmentu, odboru za reviziju i/ili upravnom odboru. Revizori moraju koristiti svoj stručni sud (a) za određivanje važnosti izloženosti ili slabosti te poduzetih ili predviđenih radnji za ublažavanje ili ispravljanje takvih izloženosti ili slabosti, i (b) utvrditi očekivanja izvršnog menadžmenta, odbora za reviziju i uprave nakon prijave tih stvari.
Priopćavanje rezultata konzultacijskih angažmana (Standardi 2410.C1 i 2440.C1)
15. Priopćavanje o napretku i rezultatima konzultacijskih angažmana razlikovat će se prema obliku i sadržaju ovisno o prirodi angažmana i potrebama klijenta. Zahtjeve za izvještavanje u načelu određuje subjekt koji traži uslugu i treba ispuniti ciljeve koje je odredilo i odobrilo rukovodstvo. Međutim, format priopćavanja rezultata savjetovanja treba jasno opisivati prirodu angažmana i bilo kakve nedostatke, ograničenja ili druge čimbenike s kojima korisnici informacija moraju biti upoznati.
16. U nekim okolnostima interni revizor može zaključiti da rezultate treba priopćiti i drugim strankama, a ne samo onima kojima je usluga pružena ili koji su je zatražili. U takvim slučajevima interni revizor treba proširiti opseg izvještavanja tako da rezultati budu priopćeni nadležnim strankama. Prilikom proširivanja opsega izvještavanja na druge stranke, revizor treba postupati slijedeći ove korake dok ne bude zadovoljan s rješenjem stvari: • treba utvrditi kakav je smjer propisan u ugovoru o konzultacijskom angažmanu i s time povezanim priopćenjima • treba nastojati uvjeriti one kojima se pruža usluga ili koji su je tražili da svojevoljno prošire priopćavanje na nadležne stranke • odrediti kakve su smjernice propisane poveljom o internoj reviziji ili politike i postupci interne revizije koje se odnose na priopćenja o savjetovanju • odrediti kakve su smjernice propisane u pravilima ponašanja, etičkom kodeksu i ostalim mjerodavnim politikama, upravnim propisima ili pravilima o postupanju organizacije
67
Preporuke za rad
• odrediti kakve su smjernice propisane u Standardima IIA ili Etičkom kodeksu, ostalim standardima ili kodeksima koji se primjenjuju na revizore, te bilo kakve regulatorne i pravne uvjete koji se odnose na predmet revizije.
17. Interni revizori trebaju obavijestiti rukovodstvo, odbor za reviziju, upravu ili drugo
upravljačko tijelo organizacije o prirodi, opsegu i ukupnim rezultatima formalnih konzultacijskih angažmana zajedno s ostalim izvještajima o internoj reviziji. Interni revizori moraju informirati izvršni menadžment i odbor za reviziju o načinu na koji se koriste sredstva za reviziju. Nisu potrebni detaljni izvještaji o tim konzultacijskim angažmanima niti je potrebno obavještavati o posebnim rezultatima i preporukama. Međutim, primjeren opis takvih vrsta angažmana i njihove značajne preporuke treba priopćiti, što je potrebno kako bi se ispunila odgovornost internog revizora u skladu sa Standardom 2060, Izvještavanje odbora i višeg menadžmenta.
Zahtjevi u pogledu dokumenta za konzultacijske angažmane (Standard 2330.C1)
18. Interni revizori trebaju dokumentirati posao obavljen u svrhu postizanja ciljeva formalnog savjetovanja, kao potkrjepu rezultatima. Međutim, nije nužno da se dokumentacija potrebna za angažmane provjere primjenjuje i za konzultacijske angažmane.
19. Revizori se ohrabruju da usvoje prikladne smjernice za čuvanje evidencija i riješe s tim povezana pitanja kao što je vlasništvo nad evidencijama o savjetovanju, kako bi se adekvatno zaštitila organizacija i izbjegli mogući nesporazumi u vezi sa zahtjevima za pristup tim evidencijama. Situacije u kojima se vodi pravni postupak, regulatorni zahtjevi, porezna i računovodstvena pitanja mogu zahtijevati posebno postupanje s određenim podacima o savjetovanju.
Praćenje konzultacijskih angažmana (Standard 2500.C1)
20. Interna revizija treba pratiti rezultate savjetovanja u onom opsegu u kojem je dogovoreno s klijentom. Različite vrste praćenja primjerene su za različite vrste konzultacijskih angažmana. Praćenje može ovisiti o čimbenicima kao što je izričit interes rukovodstva za predmetni angažman ili ocjenu internog revizora o rizicima projekta ili vrijednosti za organizaciju.
68
Okvir profesionalnog djelovanja
Preporuka za rad 1000.C1-3:Dodatni uvjeti za konzultacijske angažmane u
državnim organizacijama
Tumačenje Standarda 1000.C1 (i ostalih povezanih Provedbenih standarda za konzultacije) iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 1000.C1 – Prirodu konzultacijskih usluga treba definirati u povelji o reviziji.
Priroda ove preporuke za rad: ova preporuka za rad po svojoj je temi slična preporuci 1000.C1-1 i C1-2, koja razmatra načela za pružanje konzultacijskih usluga i obje su preporuke korisne internim revizorima u obavljanju savjetovanja. Definicija interne revizije glasi: „Interna revizija neovisna je aktivnost objektivne provjere i savjetovanja osmišljena da poveća vrijednost organizacije i poboljša njezino poslovanje. Ona pomaže organizaciji da ostvari svoje ciljeve putem uvođenja sustavna i disciplinirana pristupa za vrednovanje i poboljšanje djelotvornosti postupaka upravljanja rizikom, kontrole i korporativnog upravljanja.“ Podsjećamo interne revizore da se opći standardi i standardi izvođenja odnose na interne revizore koji obavljaju i angažmane provjere i savjetovanja.
Ova preporuka za rad daje smjernice za državne revizijske organizacije koje posluju u skladu sa Standardima IIA, ali čija lokalna pravila upravljanja, revizijski standardi, politike, i/ili zakonodavstvo strože ograničavaju usluge koje nisu provjera (savjetovanje). Parametre unutar kojih organizacija planira pružati usluge koje nisu provjera (savjetovanje) treba uključiti u povelju o internoj reviziji i trebaju biti pokrijepljeni politikama i postupcima interne revizije. Smjernice u ovoj preporuci mogu pomoći organizacijama da kreiraju primjeren jezik i politike za upravljanje pružanjem usluga koje nisu provjera (savjetovanje).
Od internih se revizora očekuje da koriste svoj stručni sud kako bi utvrdili opseg u kojem će koristiti ovu preporuku u svakoj pojedinoj situaciji. Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom obavljanja savjetovanih angažmana.
1. Kontekst. Definicija konzultacijskih usluga IIA-e glasi: „Usluge savjetovanja i srodne usluge koje se pružaju klijentu čija se priroda i opseg određuju u dogovoru s klijentom, a čija je svrha dodavanje vrijednosti i unaprjeđenje postupaka korporativnog upravljanja, upravljanja rizikom i kontrole, a da pritom interni revizor
69
Preporuke za rad
ne preuzima odgovornost rukovođenja. Primjeri uključuju zastupanje, savjetovanje, potporu i stručno osposobljavanje i usavršavanje.“
2. Ključni elementi uloge revizora. Kroz angažmane provjere (revizije), revizori pomažu osigurati odgovornost rukovodstva za ispunjavanje ciljeva organizacije i poštivanje unutarnjih i vanjskih zahtjeva za vođenje poslovanja i aktivnosti. Iako takvi angažmani mogu uključivati i aspekt „pomoći“ putem preporuka za poboljšanje, revizor ne snosi konačnu odgovornost za provedbu ili odobrenje poboljšanja. U slučaju da revizor preuzme odgovornost za provedbu ili odobrenje unaprjeđenja, bilo da se radi o preporuci tijekom revizije (provjere) ili tijekom zasebnog nerevizijskog angažmana (savjetovanja), vrlo je vjerojatno da će revizor ugroziti neovisnost i objektivnost koji su potrebni za ulogu revizije.
Čak i u slučaju pomoći organizaciji kroz nerevizijske aktivnosti (savjetovanje), revizori trebaju svoj rad zadržati u granicama koje definiraju ključne elemente službe za reviziju. Ti ključni elementi obuhvaćaju sljedeće: 1
• revizori moraju biti neovisni i izbjegavati odnose i situacije koje bi mogle ugroziti objektivnost revizora• revizori ne smiju provjeravati svoj vlastiti rad • revizori ne smiju obavljati rukovodeće funkcije ili donositi rukovodeće odluke.
Ovi su elementi „ključni“ jer podržavaju temeljnu premisu revizije, odnosno načelo da objektivna treća strana dokazuje (obavlja provjeru s obzirom na) vjerodostojnost tvrdnji rukovodstva. U skladu s time, kako bi zaštitili svoju sposobnost da osiguraju provjeru, revizori moraju na najmanju moguću mjeru svesti moguće prijetnje revizorskoj neovisnosti koje mogu proizaći iz toga da ista revizijska djelatnost također pruža usluge koje nisu revizija (savjetovanje).
Osim navedenih ključnih elementa, utvrđene su i druge prijetnje neovisnosti revizije, uključujući i postupanje u poslovima koji nisu revizija (savjetovanje) koje: • stvaraju zajedničke interese• stavljaju revizore u položaj branitelja društva2 .
3. Pravila upravljanja. Posebna pravila o nadležnosti koja propisuju ograničenja na rad revizora izvan uloge revizije (provjere) mogu se primjenjivati samo na revizore koji provode vanjsku reviziju (financijskih izvještaja ili zakonsku) ili se mogu
primjenjivati na revizore koji obavljaju sve vrste revizija. Nadalje, pravila mogu
1 Ta su načela formulirala brojna tijela za određivanje standarda, uključujući smjernice koje je objavio IAASB/IFAC u svojem Stručnom etičkom kodeksu i Vladin ured za odgovornost SAD-a u svojim Općeprihvaćenim vladinim standardima revizije. 2 Taj je rizik spomenut u Simthovu Izvještaju iz siječnja 2003. Revizijski odbori i kombinirane smjernice za kodekse, kojega je imenovalo Vijeće za financijsko izvještavanje, te se njime, među ostalima, bave i smjernice koje je objavio ICAEW (Institut ovlaštenih računovođa revizora iz Engleska i Walesa).
70
Okvir profesionalnog djelovanja
biti utvrđena u zakonskim propisima koji omogućuju revizorsku djelatnost, mogu biti nametnuta od strane nadzornih ili regulatornih tijela, ili dio etičkih kodeksa ili revizijskih standarda koji su potrebni za reviziju posebnih organizacija ili nadležnosti3. Odgovornost je glavnog revizora osigurati usklađenost povelje o službi za reviziju i njezinih politika i postupanja s mjerodavnim pravilima upravljanja.
Nadalje, čak i kada funkcija revizije ne podliježe pravilima upravljanja koja ograničavaju nerevizijske (konzultacijske) usluge, glavni revizori moraju osigurati da je sustav osiguranja kvalitete ustrojen tako da na najmanju moguću mjeru svede prijetnje neovisnosti ili objektivnosti revizora. U suprotnome, nerevizijske (konzultacijske) zadaće mogle bi imati dugoročan učinak i dovesti u pitanje sposobnost službe za reviziju da obavlja svoju revizijsku ulogu (ulogu provjere). Osim toga, angažman službe za reviziju u nerevizijskom (konzultacijskom) poslu koji u pitanje odvodi njezinu neovisnost mogao bi spriječiti ostale revizore da se pouzdaju u posao službe za reviziju.
4. Aktivnosti koje u pitanje dovode objektivnost ili neovisnost. Sposobnost revizora
da obavljaju nerevizijski (konzultacijski) posao, a da pritom ne odvode u pitanje svoju objektivnost ili neovisnost, u određenoj mjeri ovisi o tome gdje „postave granicu“ između pomaganja ili konzultacija u smislu savjetovanja nasuprot pomaganja tako što obavljaju posao za koji je odgovorno rukovodstvo. Na primjer, savjetovanje o primjerenim kontrolama tijekom osmišljavanja sustava uz jasno shvaćanje da je rukovodstvo odgovorno za prihvaćanje ili odbijanje savjeta, u budućnosti bi imalo ograničen utjecaj na revizorovu objektivnost prema tom sustavu. Nasuprot tome, ako revizor predvodi dizajnerski tim, ako je odlučivao o odabiru kontrola, ili je nadzirao provedbu preporučenih kontrola, buduća sposobnost revizora da objektivno procjeni sustav uvelike će biti narušena. Međutim, ostale nerevizijske zadaće ne moraju biti tako jasno određene. U skladu s time, službe za reviziju moraju razviti postupke za preispitivanje mogućih nerevizijskih (konzultacijskih) zadaća i utvrđivanje predstavljaju li one prijetnju za neovisnosti ili objektivnost. Kontrolu za utvrđivanje utjecaja na neovisnost ili objektivnost u budućnosti treba dokumentirati. Uvid u predmetnu dokumentaciju treba omogućiti ocjenjivačima kvalitete tijekom angažmana ocjene kvalitete.
5. Postupci za smanjenje prijetnji za objektivnost i neovisnost na najmanju moguću mjeru. Služba za reviziju treba primjenjivati kontrole koje pomažu smanjenju mogućnosti da nerevizijski (konzultacijski) projekti u pitanje dovedu
3 Primjeri posebnih ograničenja uključuju Standard interne revizije 2.4.2. Vlade Velike Britanije koji glasi: „Pretpostavlja se da je objektivnost narušena kada pojedini revizori preispituju bilo kakvu aktivnost u kojoj su prije imali izvršnu ulogu, ili u kojoj su davali konzultantske savjete:“ Taj standard dopunjen je Smjernicama za dobru konzultacijsku praksu u kojima stoji, „U toj je ulozi važno da interni revizor rukovodstvu osigura dobar savjet, a ne da preuzima zadaće u ime rukovodstva ili kao zamjena za rukovodstvo. Prihvaćanje savjeta koje ponudi interni revizor od strane rukovodstva ne prenosi niti smanjuje odgovornost rukovodstva za njihova područja odgovornosti.“ (3.5.3.)
71
Preporuke za rad
objektivnost pojedinih revizora ili neovisnost službe za reviziju u cjelini. Tehnike mogu uključivati: a. formulacije u povelji koje definiraju parametre nerevizijskih (konzultacijskih) usluga b. politike i postupke kojima se ograničava vrsta, priroda i/ili stupanj sudjelovanja u nerevizijskim (konzultacijskim) uslugama c. korištenje postupka detaljne provjere nerevizijskih (konzultacijskih) projekata, s ograničenjima za prihvaćanje angažmana koji bi mogli ugroziti objektivnost d. odvajanje nerevizijskih (konzultacijskih) jedinica od jedinica za reviziju (angažmani provjere) unutar iste službe za revizijue. izmjenjivanje revizora u angažmanima f. angažiranje vanjskih suradnika za obavljanje nerevizijskih (konzultacijskih) usluga ili za provođenje angažmana provjere u aktivnostima gdje je utvrđeno da je prijašnje sudjelovanje službe za reviziju u nerevizijskom (konzultacijskom) angažmanu narušilo objektivnost/neovisnostg. objavljivanje u revizijskim izvještajima, ukoliko je došlo do narušavanja objektivnosti zbog sudjelovanja u prethodnom nerevizijskom (konzultacijskom) projektu.
Prilog A daje primjere odgovarajućeg jezika za neke od ovih kontrolnih tehnika.
72
Okvir profesionalnog djelovanja
Prilog APrimjer jezika za kontrolne tehnike kako bi
se na najmanju moguću mjeru svele prijetnje za neovisnost
Formulacije povelje koje definiraju parametre za nerevizijske (konzultacijske) usluge. Formulacije korištene u povelji utvrdit će granice unutar kojih će djelovati služba za reviziju, ali ne očekuje se da detaljno odrede koje će se usluge pružati ili koje se neće pružati. U skladu s tim, ako je osnova za neovisnost opisana na drugom mjestu u povelji, ili je dio posebnih revizijskih standarda koji se navode, povelja može uključivati samo referencu na te ostale kriterije kako bi odredila parametre za usluge koje će se pružati. Tri niže navedena primjera prikazuju jezik koji korišten u dva slučaja gdje su nerevizijske (konzultacijske) usluge ograničene na one koje ne bi trebale dovesti u pitanje neovisnost i objektivnost, i za slučaj kada služba za reviziju može biti pozvana da obavi posao za koji je inače odgovorno rukovodstvo.
• U slučaju kada služba za reviziju ograničava nerevizijske (konzultacijske) usluge na one koje ne dovode u pitanje objektivnost i neovisnost:
„Revizor također može pomagati gradonačelniku, gradskom poglavarstvu i rukovodećem osoblju u obavljanju njihovih odgovornosti tako da im osigura objektivne i pravovremene informacije o provođenu gradskih poslova ili savjetovanje o odgovarajućim upravljačkim kontrolama, u skladu s (naslov odgovarajućeg/ih) revizijskim standardom/ima.“
„Odjel interne revizije može obavljati ostale nerevizijske funkcije, u skladu s ostalim odredbama ove povelje te sastaviti i podnijeti takve izvještaje, ovisno o tome kako odredi komisija.“
• Kada služba za reviziju pruža puni spektar nerevizijskih usluga, čak i pojedine takve usluge mogu ugroziti objektivnost ili neovisnost poslova revizije:
„S vremena na vrijeme revizor može biti pozvan da sudjeluje u nerevizijskim aktivnostima agencije, ili da pomaže glavnom direktoru ili rukovodstvu u provođenju njihovih odgovornosti, u skladu s odobrenjem odbora za reviziju.“
Politike i postupci koji ograničavaju vrstu, prirodu i/ili stupanj sudjelovanja u nerevizijskim (konzultacijskim) projektima; ili utvrđivanje kontrola koje na najmanju moguću mjeru svode prijetnje za objektivnost ili neovisnost od sudjelovanja u nerevizijskim angažmanima. Ako revizori obavljaju rukovodeće funkcije za organizaciju, jedinica za reviziju treba utvrditi odgovarajuće politike i postupke. Politike bi posebno trebale zabraniti takvim osobama da planiraju, provode ili kontroliraju buduće revizije predmeta koji uključuju nerevizijske (konzultacijske) usluge. Nadalje, ako služba za reviziju obavlja nerevizijski (konzultacijski) angažman koji će narušiti cjelokupnu neovisnost, prije no što angažman počne treba obavijestiti nadzorno tijelo službe za reviziju (npr. odbor za reviziju) da će neovisnost revizije biti narušena u bilo kojem budućem revizijskom poslu u tom području. U slučaju da funkcija revizije nastavi s revizijskom aktivnošću u slučaju narušavanja, takvo narušavanje treba se navesti u revizijskom izvještaju.
73
Preporuke za rad
Te se zabrane mogu ublažiti ako postoje značajne promjene u predmetnom području nakon što je pružena pomoć ili ako je pomoć uključivala neke od utvrđenih minimalnih standarda, kao što je „manje od 40 sati“.Niže naveden primjer politike i postupka opisuje nerevizijske (konzultacijske) usluge te uključuje jezik (vidi podcrtan tekst) koji ograničava usluge u okvirima parametara koji na najmanju mjeru svode prijetnje u pogledu objektivnosti i neovisnosti revizora. Politika: osim usluga revizije, revizijski ured osigurava još tri vrste usluga rukovoditeljima pod nadležnošću ili na zahtjev Komisije – osiguranje kvalitete za projekte u tijeku, konzultacije i usavršavanje i vođene radionice za samoprocjenu kontrola. Parametri za svaku vrstu usluge dani su niže u tekstu.
Usluge osiguranja kvalitete
Za vrijeme pružanja usluga osiguranja kvalitete, gradski ured za reviziju prati projekte u tijeku i pruža pomoć dajući ocjenu o sljedećem:
• ciljevi projekta će biti postignuti i opravdani • sve su opcije utvrđene i temeljito analizirane • kvalitativne i kvantitativne analize su potpune i točne • utvrđen je projektni plan i osoblje koje radi na projektu pridržava se plana• najbolja praksa za dovršetak projektnih ciljeva koju koriste ostala nadležna tijela može biti usvojena u gradskim tijelima.
Konzultacijske usluge i stručno usavršavanje
Revizijsko osoblje na raspolaganju je za pružanje pomoći i stručna usavršavanja osoblja iz gradskih tijela u kreiranju sustava za odgovornost rukovodstva i temeljito restrukturiranje poslovanja. Revizijsko osoblje daje samo savjete, a rukovodstvo mora preuzeti odgovornost za provedbu bilo kakvih prijedloga.
Vođene radionice samoprocjenjivanja kontrole
U ovom postupku revizije skupina zaposlenika sastaje se s revizorima kako bi održali strukturirane rasprave o načinu za postizanje ciljeva na najučinkovitiji i djelotvoran način. Umjesto formalnog revizijskog izvještaja sastavljaju se akcijski planovi koji se bave uklanjanjem bilo kakvih prepreka za postizanje cilj(ev)a. Članovi skupine zaposlenika odgovorni su za provedbu konačnih mjera iz akcijskog plana.
Niže navedeni primjeri postupaka sadrže formulacije koje pojašnjavaju radnje koje treba poduzeti služba za reviziju kada se prihvate nerevizijski (konzultacijski) angažmani koji ugrožavaju neovisnost i objektivnost budućih angažmana provjere (revizija).
74
Okvir profesionalnog djelovanja
Kada odbor za reviziju zatraži od službe za reviziju da obavi nerevizijske angažmane za koje glavni revizor utvrdi da narušavaju neovisnost službe za reviziju ili objektivnost pojedinog revizora u budućim poslovima revizije, potrebno je obaviti sljedeće postupke:
1. Prije početka nerevizijskog angažmana glavni revizor pisanim će putem obavijestiti odbor za reviziju da će dotični angažman narušiti neovisnost ili objektivnost; opisat će prirodu narušavanja te navesti posljedice narušavanja za buduće revizije (na primjer, služba za reviziju mora odbiti buduće revizije u tom području ili revizijski odbor mora ugovoriti buduće revizije s trećom stranom). Glavni revizor od odbora za reviziju mora zatražiti pisani odgovor u kojem se služba za reviziju upućuje ili da nastavi s nerevizijskim angažmanom ili da ga odbije.
2. Ako odbor za reviziju uputi službu za reviziju da nastavi s nerevizijskim angažmanom, glavni revizor zabilježit će narušavanje u: • dokumentaciji o nerevizijskom angažmanu, čija se kopija šalje rukovodstvu koje je odgovorno za nerevizijski angažman • Godišnjem planu projekata službe za reviziju• priopćenjima revizije uz vanjske pružatelje usluga osiguranja kvalitete u sljedećem pregledu osiguranja kvalitete.
Ako odbor za reviziju uputi službu za reviziju da provede reviziju koja uključuje aktivnosti ili poslovanje koji su bili dio prethodnog nerevizijskog angažmana koji je služba za reviziju obavila, a za koji je glavni revizor već odredio da će narušiti budući revizijski posao, potrebno je obaviti sljedeće postupke:
1. prije početka revizije glavni revizor poslat će pisano priopćenje odboru za reviziju, u kojem navodi i opisuje narušavanje, te navodi mogućnosti za obavljanje posla uz najveći mogući stupanj objektivnosti (na primjer, angažiranje treće strane, ili zahtjev za pomoć od revizora iz partnerskih ili regulatornih tijela)
2. ako odbor za reviziju uputi službu za reviziju da nastavi s revizijskim angažmanom, glavni revizor zabilježit će narušavanje u: • dokumentaciji za planiranje revizijskog angažmana• završnom izvještaju o reviziji.
3. osim toga, glavni revizor mora obznaniti događaj i osigurati potpunu dokumentaciju vanjskim pružateljima usluga osiguranja kvalitete službi za reviziju u sljedećoj kontroli osiguranja kvalitete.
Postupak analize/kontrole za nerevizijske (konzultacijske) projekte. Prilikom prihvaćanja i provođenja savjetovanja, revizori moraju zabilježiti obrazloženje za pružanje konzultacijskih usluga i dokazati svoj sud o tome da usluge ne krše ključne elemente revizijske uloge. Te informacije trebalo bi priopćiti vanjskim ocjenjivačima osiguranja kvalitete. Jedan primjer smjernice za kontrolu naveden je niže u tekstu:
1. Nakon primitka zahtjeva za nerevizijskim (konzultacijskim) uslugama, odjel interne revizije treba razmotriti hoće li pružanje takve usluge dovesti osobno
75
Preporuke za rad
narušavanje u stvarnosti ili naizgled, a koje bi nepovoljno utjecalo ili na objektivnost imenovanog revizora ili na neovisnost odjela u provođenju naknadnih revizija u istome području. Ako se odredi kako angažman predstavlja narušavanje neovisnosti ili objektivnosti, zahtjev treba odbiti. Ako je odbijen, čimbenike i konačan zaključak treba zabilježiti u memorandumu koji je naslovljen na podnositelja zahtjeva za uslugu.
2. Prije provedbe nerevizijskih (konzultacijskih) usluga, odgovorni revizor dokumentirat će sporazum s podnositeljem/podnositeljima zahtjeva da je/su podnositelj/podnositelji zahtjeva odgovorni za rezultat posla, te stoga ima odgovornost da stvarno donese utemeljenu odluku o rezultatima nerevizijskog (konzultacijskog) posla. Odjel za internu reviziju mora sklopiti sporazum s podnositeljem/podnositeljima zahtjeva koji se odnosi na cilj, opseg, i ograničenja za nerevizijske (konzultacijske) usluge.
76
Okvir profesionalnog djelovanja
Preporuka za rad 1100-1:Neovisnost i objektivnost
Tumačenje Standarda 1100 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1100 – Neovisnost i objektivnostInterna revizija mora biti neovisna, a interni revizori moraju biti objektivni u obavljanju svoga posla.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene neovisnosti i objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori neovisni su kada svoj posao mogu obavljati slobodno i objektivno. Neovisnost omogućava internim revizorima da daju nepristrana i objektivna mišljenja koja su potrebna za pravilno provođenje angažmana. To se postiže kroz organizacijski status i objektivnost.
77
Preporuke za rad
Preporuka za rad 1100-1:Organizacijska neovisnost
Tumačenje Standarda 1100 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1100 – Organizacijska neovisnostGlavni revizor treba podnositi izvještaje onoj razini unutar organizacije koja omogućava djelatnosti interne revizije da ispuni svoje odgovornosti.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene organizacijske neovisnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori moraju imati potporu višeg menadžmenta i odbora kako bi mogli računati na suradnju klijenata gdje se obavlja angažman i obaviti svoj posao bez uplitanja.
2. Glavni revizor odgovara osobi u organizaciji koja ima dovoljne ovlasti za promicanje neovisnosti i osiguranje širokog obuhvata revizije, odgovarajućih uvjeta za komunikaciju u okviru angažmana, i primjereno postupanje po preporukama iz angažmana.
3. Idealno, glavni revizor bi trebao odgovarati odboru u funkcijskom pogledu, a generalnom direktoru organizacije u administrativnom pogledu.
4. Glavnom revizoru mora biti omogućena izravna komunikacija s upravom. Redovita komunikacija s upravom pomaže u osiguranju neovisnosti i osigurava sredstvo, kako upravi tako i glavnom revizoru, kojim jedni drugima prenose informacije o pitanjima od zajedničkog interesa.
5. Izravna komunikacija znači da glavni revizor redovito prisustvuje i sudjeluje na sastancima uprave koji se odnose na njezine odgovornosti za nadzor revizije, financijskog izvještavanja, organizacijskog upravljanja i kontrole. Prisustvovanje i sudjelovanje glavnog revizora na tim sastancima osigurava mogućnost da bude upoznat sa strateškim poslovnim i operativnim razvojem događaja, te da se u ranoj fazi istaknu visokorizična pitanja sustava, postupaka ili kontrole. To je također i
78
Okvir profesionalnog djelovanja
prilika za razmjenu informacija o planovima i aktivnostima za internu reviziju. Glavni bi revizor s upravom trebao održati sastanak barem jednom godišnje.
6. Neovisnost je pojačana kada se odbor usuglašava s imenovanjem i sudjelovanjem glavnog revizora.
79
Preporuke za rad
Preporuka za rad 1110.A1-1:Otkrivanje razloga za zahtjeve za informacijama
Tumačenje Standarda 1110.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1110.A1 – Interna revizija mora biti slobodna od uplitanja u odlučivanje o opsegu interne revizije, obavljanje poslova i priopćavanje rezultata.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedlog, ukoliko se od njih zatraži da otkriju razloge za podnošenje zahtjeva za informacijama. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Katkada klijent koji je naručio angažman, ili druge stranke, može zatražiti od internog revizora objašnjenje zbog čega je traženi dokument važan za angažman. Otkrivanje ili neotkrivanje razloga zbog kojega su dokumenti potrebni tijekom angažmana treba odlučiti na temelju okolnosti. Značajne nepravilnosti mogu zahtijevati manje otvorenu okolinu nego što je inače pogodno za suradnju. Međutim, to mišljenje treba donijeti glavni revizor na osnovu posebnih okolnosti.
80
Okvir profesionalnog djelovanja
Preporuka za rad 1110-2:Linije izvještavanja
glavnog revizora
Tumačenje Standarda 1110 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1110 – Organizacijska neovisnost Glavni revizor mora podnositi izvještaje onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom utvrđivanja ili vrednovanja linija izvještavanja i odnosa s dužnosnicima u organizaciji kojima glavni revizor podnosi izvještaj. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Međunarodni standardi za stručnu provedbu interne revizije (Standardi) IIA-e propisuju da glavni revizor podnosi izvještaj onoj razini unutar organizacije koja omogućava internoj reviziji da ispuni svoje odgovornosti. IIA čvrsto vjeruje da u svrhu postizanja potrebne neovisnosti glavni revizor funkcionalno treba podnositi izvještaj odboru za reviziju ili jednakovrijednoj instanci. Zbog administrativnih razloga, u većini slučajeva, glavni revizor treba podnositi izvještaj neposredno generalnom direktoru organizacije. Sljedeći opisi predstavljaju ono što IIA smatra „izvještavanjem prema funkciji“ i „izvještavanjem prema administraciji“ i svrha im je pomoći u usmjeravanju rasprave o ovoj preporuci za rad. • Izvještavanje prema funkciji – linija izvještavanja prema funkciji za internu
reviziju predstavlja krajnji izvor njezine neovisnosti i ovlasti. IIA preporučuje da glavni revizor podnosi izvještaj prema funkciji odboru za reviziju, upravnom odboru, ili drugom upravljačkom tijelu. U tom smislu, izvještavanje prema funkciji znači da upravljačko tijelo treba:
- odobriti cijelu povelju interne revizije- odobriti procjenu rizika interne revizije i povezani plan revizije- primati priopćenja od glavnog revizora o rezultatima interne revizije ili drugim stvarima koje glavni revizor smatra potrebnima, uključujući privatne sastanke s glavnim revizorom bez prisutnosti rukovodstva - odobriti sve odluke koje se odnose na imenovanje na dužnost ili uklanjanje s dužnosti glavnog revizora- odobriti godišnju naknadu i usklađivanje plaće glavnog revizora
81
Preporuke za rad
- odgovarajuće ispitati rukovodstvo i glavnog revizora kako bi se utvrdilo postoje li ograničenja u pogledu opsega ili proračuna koja narušavaju sposobnost interne revizije da izvrši svoje odgovornosti.
• Izvještavanje prema administraciji – izvještavanje prema administraciji predstavlja odnos unutar rukovodeće strukture organizacije koji olakšava svakodnevno poslovanje interne revizije. Izvještavanje prema administraciji obično uključuje:
- planiranje proračuna i financijske izvještaje uprave- upravljanje ljudskim potencijalima, uključujući vrednovanje i kompenzaciju osoblja - unutarnji tijek komunikacija i informacija- provedbu internih politika i postupaka u organizaciji.
2. Ova preporuka naglasak stavlja na okolnosti za utvrđivanje i vrednovanje linija izvještavanja glavnog revizora. Primjerene linije izvještavanja ključne su za postizanje neovisnosti, objektivnosti i organizacijskog uporišta potrebnog za uspješno obavljanje obveza interne revizije. Linije izvještavanja glavnog revizora također su ključne za osiguranje odgovarajućeg toka informacija i pristupa ključnim izvršnim direktorima i rukovoditeljima koji su temelj procjene rizika i izvještavanja o rezultatima revizijskih aktivnosti. Nasuprot tome, svaku linija izvještavanja koja narušava neovisnost i učinkovito funkcioniranje interne revizije glavni revizor mora smatrati ozbiljnim ograničenjem opsega, što je potrebno napomenuti odboru za reviziju ili istovjetnom tijelu.
3. Ova preporuka također prepoznaje da na linije izvještavanja glavnog revizora utjecaj ima i priroda organizacije (javna ili privatna te njezina veličina); uobičajene prakse u svakoj zemlji; sve veća složenost organizacija (zajednički pothvati, multinacionalne korporacije s podružnicama); i trend da interne revizijske skupine pružaju usluge dodane vrijednosti uz sve veću suradnju s klijentima u pogledu prioriteta i opsega. U skladu s time, iako IIA vjeruje da postoji idealna struktura izvještavanja gdje se izvještaji prema funkciji podnose odboru za reviziju, a prema administraciji generalnom direktoru, ostali odnosi mogu biti djelotvorni ako postoji jasno razgraničenje između linija izvještavanja prema funkciji i administraciji i ako u svakoj liniji postoje odgovarajuće aktivnosti koje će osigurati neovisnost i opseg aktivnosti. Od internih se revizora očekuje da koriste stručan sud kako bi odredili u kojoj se mjeri smjernice iz ove preporuke trebaju primjenjivati u određenoj situaciji.
4. Standardi naglašavaju važnost toga da glavni revizor podnosi izvještaj osobi koja ima dovoljne ovlasti za promicanje neovisnosti i koja može osigurati širok opseg revizije. Standardi su namjerno ponešto općeniti u pogledu izvještavanja zbog toga jer su sastavljeni tako da se mogu primjenjivati u svim organizacijama, bez obzira na njihovu veličinu i druge čimbenike. Čimbenici koji „jedno pravilo za sve“ čine nedostižnim uključuju veličinu i vrstu organizacije (privatna, državna, poslovna). U
82
Okvir profesionalnog djelovanja
skladu s time, glavni revizor u obzir treba uzeti sljedeće značajke prilikom ocjene primjerenosti linije izvještavanja prema administraciji. • Ima li osoba dovoljne ovlasti i status za osiguranje učinkovitosti posla? • Ima li osoba odgovarajuću stav u pogledu kontrole i korporativnog upravljanja da pomogne glavnom revizoru u njihovoj ulozi?• Ima li osoba vremena i interesa pružiti aktivnu podršku glavnom revizoru u pitanjima revizije? • Razumije li osoba izvještavanje prema funkciji i podržava li ga?
5. Glavni revizor također mora osigurati održanje primjerene neovisnosti, ukoliko je
osoba odgovorna za liniju izvještavanja prema administraciji također odgovorna za ostale aktivnosti u organizaciji koje podliježu internoj reviziji. Na primjer, neki glavni revizori izvještavaju prema administraciji glavnog financijskog rukovoditelja, koji je također odgovoran za računovodstvene zadaće u organizaciji. Interna revizija mora biti slobodna u obavljanju revizije i podnošenju izvještaja o bilo kojoj aktivnosti koja također podnosi izvještaj njezinom administrativnom čelniku, ako takav obuhvat smatra primjerenim za svoj plan revizije. Svako ograničenje u opsegu izvještavanja o rezultatima tih aktivnosti treba napomenuti odboru za reviziju.
6. U sklopu nedavnog pokreta za strožim zakonodavnim i regulatornim uvjetima u pogledu financijskog izvještavanja u svijetu, linije izvještavanja glavnog revizora trebaju omogućiti internoj reviziji da ispuni povećane potrebe odbora za reviziju ili drugih važnih zainteresiranih strana. U sve većem broju slučajeva od glavnog se revizora traži da preuzme značajniju ulogu u upravljanju organizacijom i aktivnostima upravljanja rizikom. Linije izvještavanja glavnog revizora trebaju olakšati sposobnost interne revizije da ispuni ta očekivanja.
7. Bez obzira kakav oblik izvještavanja odabere organizacija, nekoliko ključnih radnji može pomoći da linije izvještavanja pružaju potporu i omoguće učinkovitost i neovisnost interne revizije: • izvještavanje prema funkciji:
- linija izvještavanja prema funkciji mora ići direktno odboru za reviziju ili istovjetnom tijelu kako bi se osigurala odgovarajuća razina neovisnosti i komunikacije- glavni revizor mora se privatno sastati s odborom za reviziju ili istovjetnim tijelom, bez prisutnosti rukovodstva, kako bi potvrdio neovisnost i prirodu svog izvještavanja- odbor za reviziju mora imati definitivnu ovlast za kontroliranje i odobravanje godišnjeg plana revizije i svih većih izmjena plana- u svakom trenutku glavni revizor mora imati slobodan i izravan pristup predsjedniku odbora za reviziju i njegovim članovima ili predsjedniku uprave ili cijeloj upravi, prema potrebi- barem jednom godišnje odbor za reviziju treba prekontrolirati radni učinak glavnog revizora i odobriti godišnju naknadu i usklađenje plaće
83
Preporuke za rad
- povelja o internoj reviziji treba jasno formulirati linije izvještavanja prema funkciji i administraciji za djelatnost, kao i glavne aktivnosti usmjerene ka vrhu svake linije.
• izvještavanje prema administraciji: - linija izvještavanja prema administraciji glavnog revizora mora ići
generalnom direktoru ili drugom direktoru koji ima dovoljno ovlasti da mu omogući odgovarajuću podršku za postizanje svakodnevnih aktivnosti. Takva potpora mora uključivati i pozicioniranje funkcije i glavnog revizora u strukturi organizacije na takav način da je profesiji osiguran odgovarajući status unutar organizacije. Podnošenje izvještaja preniskoj instanci u organizaciji može negativno utjecati na status i učinkovitost interne revizije.
- linija izvještavanja prema administraciji ne smije imati konačnu ovlast za opseg ili izvještavanje o rezultatima interne revizije
- linija izvještavanja prema administraciji treba olakšati otvorenu i neposrednu komunikaciju s direktorom i resornim rukovodstvom; glavnom revizoru mora biti omogućena neposredna komunikacija s bilo kojom razinom rukovodstva, uključujući i generalnog direktora
- linija izvještavanja prema administraciji treba omogućiti adekvatnu komunikaciju i tijek informacija tako da glavni revizor i interna revizija imaju adekvatne i pravovremene informacije u aktivnostima, planovima i poslovnim inicijativama organizacije
- proračunske kontrole i uvjeti koje nameće linija izvještavanja prema administraciji ne smiju narušavati sposobnost interne revizije da ispuni svoju misiju.
8. Glavni revizori također trebaju razmotriti svoj odnos s ostalim kontrolnim i službama za praćenje (upravljanje rizikom, usklađenost, sigurnost, pravo, etika, zaštita okoliša, vanjska revizija) i olakšati izvještavanje odboru za reviziju o materijalnom riziku i pitanjima kontrole.
84
Okvir profesionalnog djelovanja
Preporuka za rad 1120-1:Individualna objektivnost
Tumačenje Standarda 1120 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1120 – Individualna objektivnostInterni revizori moraju biti nepristrani i objektivni te izbjegavati sukobe interesa.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom ocjene individualne objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Objektivnost je neovisan stav koji interni revizori trebaju zadržati prilikom obavljanja angažmana. Interni revizori ne smiju podređivati svoje mišljenje u pitanjima revizije mišljenjima drugih.
2. Objektivnost zahtijeva od internih revizora da angažman provode iskreno vjerujući u produkt svojega rada i da se ne čine značajniji ustupci u kvaliteti. Interni revizori ne smiju biti dovedeni u situacije u kojima nisu u mogućnosti donijeti objektivno stručno mišljenje.
3. Zadaće osoblja trebaju biti raspoređene tako da se izbjegnu mogući i stvarni sukobi interesa i pristranost. Glavni revizor povremeno treba od internih revizora pribaviti informacije o mogućim sukobima interesa i pristranosti. Zadaće internih revizora treba povremeno rotirati, kada god je to izvedivo.
4. Rezultate interne revizije treba prekontrolirati prije nego što pripadajuća priopćenja budu objavljena kako bi se osiguralo da je posao obavljen objektivno.
5. Nije etično da interni revizor prihvaća naknadu, dar ili zabavu od zaposlenika, klijenta, naručitelja, dobavljača ili poslovnog suradnika. Prihvaćanje naknade, dara ili zabave može stvoriti dojam da je narušena objektivnost revizora. Dojam narušene objektivnosti može se odnositi na sadašnje ili buduće angažmane revizora. Status angažmana ne smije se smatrati opravdanjem za primanje naknada, darova ili zabave. Prihvaćanje promotivnih predmeta (kao što su olovke, kalendari ili uzorci) koji su dostupni zaposlenicima i široj javnosti, a koji imaju minimalnu vrijednost, ne
85
Preporuke za rad
bi trebali ometati stručno mišljenje internih revizora. Interni revizori trebaju odmah obavijestiti svoje nadređene o ponudi svake materijalne naknade ili darova.
6. Interna revizija treba usvojiti politiku koja se bavi obvezom povođenja radnji kojom se izbjegavaju sukobi interesa i otkrivaju sve aktivnosti koje bi za rezultat mogle imati sukob interesa.
86
Okvir profesionalnog djelovanja
Preporuka za rad 1130-1:Narušavanje neovisnosti ili objektivnosti
Tumačenje Standarda 1130 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1130 – Narušavanje neovisnosti ili objektivnosti Ako dođe do narušavanja neovisnosti ili objektivnosti u stvarnosti ili naizgled, o detaljima narušavanja treba obavijestiti odgovarajuće stranke. Priroda objave ovisi o narušavanju.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom ocjene narušavanja neovisnosti ili objektivnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori moraju glavnom revizoru prijaviti svaku situaciju u kojoj postoji sukob interesa ili pristranost ili se o njima može donijeti opravdan zaključak. Glavni bi revizor trebao prerasporediti takve revizore.
2. Ograničenje opsega je ograničenje koje se nameće internoj reviziji i koje sprječava internu reviziju da ostvari svoje ciljeve i planove. Među ostalim, ograničenje opsega može ograničiti: • opseg koji je definiran u povelji• pristup interne revizije evidencijama, osoblju i materijalnoj imovini koja je važna za obavljanje angažmana • odobren plan rada za angažman • obavljanje potrebnih postupaka u okviru angažmana • odobren plan popunjavanja kadrovima i financijski proračun.
3. Ograničenje opsega s mogućim učinkom treba prijaviti upravi, po mogućnosti u pisanom obliku.
4. Glavni revizor treba razmotriti je li primjereno obavijestiti upravu o ograničenju opsega o kojima je već prethodno obavijestio upravu i koje je ista prihvatila. To može biti prijeko potrebno pogotovo ukoliko je došlo do promjena u organizaciji, odboru ili višem menadžmentu, ili drugih promjena.
87
Preporuke za rad
Preporuka za rad 1130.A1-1:Ocjenjivanje poslova za koje su interni revizori
prethodno bili odgovorni
Tumačenje Standarda 1130.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1130.A1 – Interni revizori moraju se suzdržati od ocjenjivanja posebnih poslova za koje su prethodno bili nadležni. Pretpostavlja se da je objektivnost narušena ako revizor pruža usluge provjere za djelatnost za koju je revizor bio nadležan tijekom prethodne godine.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u situaciji kada je revizor dobio zadatak ocijeniti posao za koji je prethodno bio odgovoran. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori ne smiju preuzimati operativne odgovornosti. Ako viši menadžment uputi interne revizore da obavljaju posao koji nije revizija, smatra se da oni ne djeluju kao interni revizori. Nadalje, pretpostavlja se da je objektivnost narušena kada interni revizori obavljaju bilo kakvu kontrolu bilo koje aktivnosti za koju su bili ovlašteni ili odgovorni unutar protekle godine. Narušavanje treba uzeti u obzir prilikom priopćavanja rezultata revizije. • Ako se interne revizore uputi da obavljaju dužnosti koje nisu revizija, glavni revizor
mora obavijestiti viši menadžment i odbor da takva radnja nije revizijska radnja provjere, pa se stoga ne smiju davati zaključci vezani uz reviziju.
• Osim toga, kada se operativne odgovornosti dodijele internoj reviziji, posebnu pozornost treba obratiti na osiguranje objektivnosti kada se nakon toga prihvati angažman provjere u povezanom području poslovanja. Smatra se da je objektivnost narušena kada interni revizori kontroliraju bilo koju aktivnost za koju su bili ovlašteni ili odgovorni unutar prethodne godine. Te činjenice treba jasno dati do znanja prilikom priopćavanja rezultata revizije koja je povezana s područjem u kojem je revizor imao operativnu odgovornost.
2. U svakom trenutku u kojem dodijeljeni zadaci uključuju pretpostavku operativne ovlasti, smatra se da je revizorska objektivnost narušena u pogledu predmetne radnje.
88
Okvir profesionalnog djelovanja
3. Osobe koje interna revizija premjesti ili privremeno angažirane osobe ne smiju se raspodijeliti na revizije onih aktivnosti koje su prethodno obavljali sve dok ne prođe odgovarajući vremenski rok (barem jedna godina). Pretpostavlja se da takvi zadatci narušavaju objektivnost, a svaki drugi element mora se uzeti u obzir prilikom nadzora angažmana ili priopćavanja rezultata angažmana.
4. Objektivnost internog revizora nije pod negativnim utjecajem ako revizor preporuči standarde kontrole za sustave ili postupke kontrole prije nego što isti budu provedeni. Smatra se da je objektivnost revizora narušena ako revizor kreira, ugradi ili izradi postupke ili ako upravlja takvim sustavima.
5. Ako interni revizor povremeno obavlja nerevizijske poslove, uz potpuno objavljivanje prilikom izvještavanja, to neće nužno narušiti objektivnost. Međutim, zahtijeva temeljito razmatranje rukovodstva i internog revizora u svrhu izbjegavanja negativnih utjecaja na objektivnost internog revizora.
89
Preporuke za rad
Preporuka za rad 1130.A1-2:Odgovornost interne revizije
za ostale (nerevizijske) funkcije
Tumačenje Standarda 1130.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1130.A1 – Interni revizori moraju se suzdržati od ocjenjivanja posebnih poslova za koje su prethodno bili nadležni. Pretpostavlja se da je objektivnost narušena ako revizor pruža usluge provjere za djelatnost za koju je revizor bio nadležan tijekom prethodne godine.
Priroda ove preporuke za rad: ova se smjernica preporučuje internim revizorima kada su suočeni s mogućnošću prihvaćanja odgovornosti za nerevizijske operativne funkcije ili dužnosti. Prihvaćanje takvih odgovornosti može narušiti neovisnost i objektivnost te je, ako je moguće, treba izbjegavati. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja procjene takvih odgovornosti ili zadaća.
1. Neki interni revizori raspoređeni su na ili su prihvatili nerevizijske dužnosti zbog različitih poslovnih razloga koji imaju smisla za rukovodstvo organizacije. Od internih se revizora sve češće traži preuzimanje uloga i odgovornosti koje mogu narušiti neovisnost ili objektivnost. S obzirom na sve veće zahtjeve organizacija, javnih i privatnih, da razviju učinkovitije i djelotvornije poslovanje i da to obave uz manje sredstava, neke službe interne revizije rukovodstvo u njihovim organizacijama upućuje da preuzmu odgovornost za poslove koji podliježu povremenim provjerama interne revizije.
2. Kada je interna revizija ili pojedini interni revizor odgovoran ili rukovodstvo razmatra raspoređivanje na posao koji bi mogli kontrolirati, može doći do narušavanja neovisnosti i objektivnosti internog revizora. Interni bi revizor u obzir trebao uzeti sljedeće čimbenike prilikom ocjenjivanja utjecaja na neovisnost i objektivnost: • zahtjeve Etičkog kodeksa IIA-e i Međunarodnih standarda za stručnu provedbu interne revizije(Standardi)• očekivanja zainteresiranih strana koje mogu biti dioničari, uprava, odbor za
reviziju, rukovodstvo, zakonodavna tijela, javni subjekti, regulatorna tijela i javne interesne skupine
• dopuštenja i/ili ograničenja koja su sadržana u povelji interne revizije • objave koje se zahtijevaju u Standardima
90
Okvir profesionalnog djelovanja
• naknadnu provjeru revizije onih aktivnosti ili odgovornosti koje je prihvatio interni revizor.
3. Interni revizori u obzir trebaju uzeti sljedeće čimbenike za određivanje primjerenog djelovanja kada im se ponudi prilika za prihvaćanje odgovornosti nerevizijskog posla:
A. Etički kodeks IIA-e i Standardi zahtijevaju da interna revizija bude neovisna i da interni revizori budu objektivni prilikom obavljanja svog posla • ukoliko je moguće, interni bi revizori trebali izbjegavati prihvaćanje
odgovornosti za nerevizijske poslove ili zadaće koje podliježu povremenim ocjenama interne revizije; ukoliko to nije moguće, tada:
• narušavanje neovisnosti i objektivnosti mora biti objavljeno odgovarajućim strankama, a priroda objave ovisi o narušavanju
• smatra se da je objektivnost narušena ako revizor pruža usluge provjere za aktivnost za koju je revizor bio odgovoran unutar prethodne godine
• ako rukovodstvo uputi interne revizore da obavljaju nerevizijski posao, tada se smatra da oni ne djeluju kao interni revizori.
B. Očekivanja zainteresiranih strana, uključujući regulatorne ili zakonske zahtjeve, treba procijeniti i ocijeniti s obzirom na potencijalno narušavanje.
C. Ako povelja o internoj reviziji sadrži posebna ograničenja ili ograničavajuće formulacije u pogledu rasporeda internog revizora na nerevizijske poslove, tada takva ograničenja treba objaviti i o njima raspraviti s rukovodstvom. Ako rukovodstvo ustraje na takvom zadatku, revizor treba obznaniti i raspraviti o toj stvari s odborom za reviziju ili odgovarajućim upravljačkim tijelom. Ako povelja ne spominje takvo pitanje, treba uzeti u obzir smjernice navedene niže u tekstu. Sve točke koje slijede podređene su povelji.
D. Procjena – rezultate procjene treba raspraviti s rukovodstvom, odborom za reviziju, i/ili ostalim odgovarajućim zainteresiranim stranama. Potrebno je donijeti odluku u pogledu brojnih pitanja, a neka od kojih utječu jedno na drugo: • treba procijeniti važnost operativne funkcije organizaciji (u smislu prihoda,
izdataka, ugleda i utjecaja) • treba procijeniti duljinu trajanja zadatka i opseg odgovornosti • treba procijeniti prikladnost razdvajanja dužnosti• prilikom izvještavanja o rezultatima revizije u obzir treba uzeti moguće
narušavanje objektivnosti ili neovisnosti ili pojavu takvog narušavanja.
E. Revizija funkcije i objave – s obzirom na to da interna revizija ima operativne odgovornosti i da je poslovanje dio plana revizije, postoji nekoliko pristupa koje revizor može uzeti u obzir:
91
Preporuke za rad
• reviziju može obaviti treća stranka s kojom je potpisan ugovor, vanjski revizori ili služba za internu reviziju; u prve dvije situacije narušavanje objektivnosti svedeno je na najmanju moguću mjeru angažiranjem revizora izvan organizacije, dok bi u potonjem slučaju objektivnost bila narušena
• pojedini revizori koji imaju operativne odgovornosti ne bi smjeli sudjelovati u reviziji; ako je moguće, revizore koji provode procjenjivanje treba nadzirati i njima treba podnijeti izvještaj o rezultatima procjene, onima čija neovisnost ili objektivnost nije narušena
• objavljivanje treba obuhvatiti operativne odgovornosti revizora za funkciju, važnost operacije za organizaciju (u smislu prihoda, izdataka ili drugih važnih informacija) te odnos između onoga koji je kontrolirao funkciju i revizora
• objava operativnih odgovornosti revizora treba biti navedena u pripadajućem revizijskom izvještaju i uobičajenim priopćenjima koja revizor podnosi odboru za reviziju ili drugom upravljačkom tijelu.
92
Okvir profesionalnog djelovanja
Preporuka za rad 1200-1:Stručnost i dužna profesionalna pozornost
Tumačenje Standarda 1200 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1200 – Stručnost i dužna profesionalna pozornostAngažmane treba provoditi stručno i uz dužnu profesionalnu pozornost.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge kada obavljaju angažmane. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Stručno znanje predstavlja odgovornost glavnog revizora i svakog pojedinog internog revizora. Glavni revizor dužan je osigurati da osobe raspoređene na pojedini zadatak kolektivno posjeduju potrebno znanje, vještine i ostale kompetencije za ispravno obavljanje angažmana.
2. Interni revizori moraju postupati u skladu s profesionalnim standardima postupanja. Etički kodeks IIA-e proteže se izvan definicije interne revizije i obuhvaća dva ključna elementa: • načela koja su važna za struku i provođenje interne revizije: integritet, objektivnost, povjerljivost i stručnost• pravila postupanja koja opisuju standarde ponašanja kakvo se očekuje od internih revizora; ta pravila pomažu da se načela prenesu u praktičnu primjenu i namjena im je pružiti smjernice za etičko postupanje internih revizora.
93
Preporuke za rad
Preporuka za rad 1210-1:Stručnost
Tumačenje Standarda 1210 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1210 – Stručnost Interni revizori moraju posjedovati znanje, vještine i ostale kompetencije potrebne za obavljanje individualnih odgovornosti. Interna revizija kolektivno mora posjedovati ili pribaviti znanje, vještine i ostale kompetencije potrebne za obavljanje svoje odgovornosti .
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene stručnosti obavljaju angažmane. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Svaki interni revizor treba posjedovati određeno znanje, vještine i ostale kompetencije: • Za obavljanje angažmana potrebna je stručnost u primjeni standarda interne
revizije, postupaka i tehnika. Stručnost znači sposobnost primjene znanja u vjerojatnim situacijama i rješavanje istih, bez pribjegavanja opsežnom tehničkom istraživanju i pomoći.
• Od revizora koji mnogo rade s financijskim podacima i izvještajima zahtijeva se stručnost u računovodstvenim načelima i tehnikama.
• U svrhu prepoznavanja i procjene važnosti odstupanja od dobre poslovne prakse potrebno je razumijevanje načela upravljanja. Razumijevanje znači sposobnost primjene sveobuhvatna znanja u vjerojatnim situacijama, prepoznavanje značajnih odstupanja i sposobnost provođenja istraživanja koje je potrebno da se dođe do primjerenih rješenja.
• Potrebno je poznavanje osnovnih tema kao što su računovodstvo, ekonomija, komercijalno pravo, oporezivanje, financije, kvantitativne metode i informacijska tehnologija. Razumijevanje znači sposobnost prepoznavanja problema ili mogućih problema, te određivanje daljnjeg istraživanja koje treba provesti ili pomoći koju treba angažirati.
2. Interni revizori moraju imati razvijene vještine ponašanja s ljudima i učinkovite
komunikacije. Interni revizori moraju dobro razumjeti međuljudske odnose i održavati zadovoljavajuće veze s klijentima koji ih angažiraju.
94
Okvir profesionalnog djelovanja
3. Interni revizori moraju biti vješti u pisanoj i usmenoj komunikaciji kako bi jasno i učinkovito mogli prenijeti stvari koje se odnose na angažman kao što su ciljevi, procjene, zaključci i preporuke.
4. Glavni revizor treba utvrditi primjerene kriterije u pogledu obrazovanja i iskustva za popunjavanje radnih mjesta u internoj reviziji, uzimajući u obzir opseg posla i stupanj odgovornosti. Potrebno je pribaviti odgovarajuću potvrdu o kvalifikaciji i stručnosti od svakog potencijalnog revizora.
5. Interna revizija kolektivno mora posjedovati znanje i vještine koje su prijeko potrebne za provođenje djelatnosti unutar organizacije. Potrebno je provoditi godišnju analizu znanja i vještina u odjelu za reviziju kako bi se utvrdila područja koja zahtijevaju nadogradnju kroz kontinuirani profesionalni razvoj, zapošljavanje ili model suradnje s klijentom.
6. Kontinuirani profesionalni razvoj potreban je za osiguranje stručnosti revizijskog osoblja. (Vidi Preporuku za rad 1230-1 za pojedinosti koje se odnose na kontinuirani profesionalni razvoj.)
7. Glavni revizor treba zatražiti pomoć od vanjskih stručnjaka izvan interne revizije, u svrhu osiguranja podrške ili dopune područja u kojima djelatnost nije potpuno stručna. (Vidi Preporuku za rad 1210.A1-1 za pojedinosti koje se odnose na angažiranje usluga za potporu ili dopunu internoj reviziji.)
95
Preporuke za rad
Preporuka za rad 1210.A1-1:Angažiranje usluga za potporu
ili dopunu internoj reviziji
Tumačenje Standarda 1210.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1210.A1 – Glavni revizor treba pribaviti kompetentan savjet i pomoć ako osoblju interne revizije nedostaju znanje, vještine ili druge kompetencije potrebne za obavljanje cijelog ili dijela angažmana.
Priroda ove preporuke za rad: Interni revizori u obzir trebaju uzeti sljedeće prijedloge kada razmatraju angažiranje dodatnih usluga za potporu internoj reviziji. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interna revizija mora imati zaposlenike ili koristiti vanjske pružatelje usluga koji su kvalificirani u disciplinama poput računovodstva, revizije, ekonomije, financija, statistike, informatičke tehnologije, inženjerstva, oporezivanja, prava, zaštite okoliša i ostalim područjima koja su potrebna da bi se ispunile odgovornosti interne revizije. Međutim, svaki djelatnik u internoj reviziji ne mora biti kvalificiran u svim disciplinama.
2. Vanjski pružatelj usluga je osoba ili poduzeće, neovisna/neovisno od organizacije, koja/koje posjeduje posebno znanje, vještinu i iskustvo u određenoj disciplini. Vanjski pružatelji usluga uključuju, među ostalima, aktuare, računovođe, procjenitelje, specijaliste za ekologiju, istražitelje prijevara, odvjetnike, inženjere, geologe, specijaliste za sigurnost, statističare, specijaliste za informacijsku tehnologiju, vanjske revizore organizacije i ostale revizorske organizacije. Vanjskog pružatelja usluga mogu angažirati odbor, viši menadžment ili glavni revizor.
3. Interna revizija može koristiti vanjske pružatelje usluga, među ostalim, u vezi sa: • revizijskim aktivnostima koje zahtijevaju specijalizirane vještine i znanja kao
što su informacijska tehnologija, statistika, porezi, jezični prijevodi ili u svrhu obavljanja angažmana u planiranom roku
• procjenjivanjem imovine kao što su zemljište ili zgrade, umjetnička djela, drago kamenje, investicije i složeni financijski instrumenti
• određivanjem količina ili fizičkog stanja određene imovine kao što su mineralne ili naftne rezerve
96
Okvir profesionalnog djelovanja
• mjerenjem dovršenih radova i radova u tijeku koji trebaju biti dovršeni temeljem ugovora
• istraživanjem prijevara i sigurnosti • određivanjem iznosa korištenjem specijaliziranih metoda kao što je aktuarsko
određivanje obveza za doprinose za zaposlenike • tumačenjem pravnih, tehničkih i regulatornih zahtjeva • procjenom programa za unaprjeđenje interne revizije u skladu s Odjeljkom 1300
Međunarodnih standarda za stručnu provedbu interne revizije(Standardi)• spajanjem i preuzimanjem • konzultacijama o upravljanju rizikom i drugim stvarima.
4. Kada glavni revizor namjerava koristiti i osloniti se na rad vanjskog pružatelja usluga, glavni revizor mora ocijeniti kompetentnost, neovisnost i objektivnost vanjskog pružatelja usluga s obzirom na povezanost s određenim zadatkom koji treba obaviti. Ovo je ocjenjivanje također potrebno kada vanjskog pružatelja usluga odabere viši menadžment ili odbor, a glavni revizor namjerava koristiti ili se osloniti na rezultate posla vanjskog pružatelja usluga. Kada odabir vrše drugi, a glavni revizor ocijeni da neće koristiti ili se oslanjati na posao vanjskog pružatelja usluga, rezultate ocjene treba priopćiti višem menadžmentu ili odboru, prema potrebi.
5. Glavni revizor treba utvrditi posjeduje li vanjski pružatelj usluga potrebno znanje, vještine i ostale kompetencije za obavljanje angažmana. Prilikom ocjenjivanja kompetencija, glavni revizor u obzir mora uzeti: • dokaz o kvalifikaciji, dozvolu ili drugu potvrdu kompetencije vanjskog pružatelja
usluga u određenoj disciplini • članstvo vanjskog pružatelja usluga u odgovarajućim stručnim organizacijama i
poštivanje etičkog kodeksa predmetne organizacije • ugled vanjskog pružatelja usluga, što može uključivati kontaktiranje s drugima
koji su upoznati s radom vanjskog pružatelja usluga• iskustvo vanjskog pružatelja usluga u vrsti posla koji mu se namjerava dodijeliti • obrazovanje, stručno usavršavanje i osposobljavanje koje je prošao vanjski
pružatelj usluga u disciplinama koje se odnose na određeni angažman • znanje i iskustvo vanjskog pružatelja usluga u djelatnosti u kojoj organizacija
posluje.
6. Glavni revizor mora ocijeniti odnos vanjskog pružatelja usluga s organizacijom i internom revizijom kako bi osigurao neovisnost i objektivnost tijekom cijelog angažmana. U davanju ocjene glavni revizor mora utvrditi da ne postoje financijski, organizacijski ili osobni odnosi koji bi spriječili vanjskog pružatelja usluga da donese nepristrane i objektivne sudove i mišljenja u obavljanju ili izvještavanju o angažmanu.
97
Preporuke za rad
7. Prilikom ocjenjivanja neovisnosti i objektivnosti vanjskog pružatelja usluga, glavni revizor u obzir mora uzeti: • financijski interes koji vanjski pružatelj usluga može imati u organizaciji • osobnu ili profesionalnu povezanost pružatelja s odborom, višim menadžmentom
ili ostalima u organizaciji• odnos koji je pružatelj možda imao s organizacijom ili aktivnostima koje se
kontroliraju• opseg drugih usluga koje su u tijeku i koje pružatelj osigurava organizaciji• naknadu ili druge poticaje koje možda prima pružatelj.
8. Ako je vanjski pružatelj usluga ujedno vanjski revizor organizacije, a priroda angažmana su proširene usluge revizije, glavni revizor mora utvrditi da obavljeni posao ne narušava neovisnost vanjskog revizora. Proširene revizijske usluge odnose se na one usluge izvan zahtjeva revizijskih standarda koje načelno prihvaćaju vanjski revizori. Ako se vanjski revizori organizacije ponašaju ili izgledaju kao da se ponašaju kao članovi višeg menadžmenta, tada je njihova neovisnost narušena. Nadalje, vanjski revizori organizaciji mogu pružati i druge usluge, kao što su porezne ili konzultacijske usluge. Međutim, neovisnost treba procjenjivati u odnosu na puni raspon usluga koje se pružaju organizaciji.
9. Glavni revizor mora pribaviti dovoljno informacija o opsegu posla vanjskog pružatelja usluga. To je potrebno kako bi se potvrdilo da je opseg posla prikladan za potrebe interne revizije. Bilo bi korisno da se ta i slična pitanja zabilježe u pismu o preuzimanju obveze ili ugovoru. Glavni revizor s vanjskim pružateljem usluga treba provjeriti: • ciljeve i opseg posla • određena pitanja za koja se očekuje da će biti obuhvaćena priopćenjima u sklopu
angažmana • pristup potrebnim evidencijama, osoblju i materijalnoj imovini • informacije o pretpostavkama i postupcima koje treba koristiti • prema potrebi, vlasništvo i čuvanje radnih spisa o angažmanu • povjerljivost i ograničenja u pogledu informacija koje su prikupljene tijekom
angažmana• prema potrebi, u pismu o preuzimanju obveze treba navesti da je potrebno
pridržavati se Standarda IIA-e i standarda odjela za internu reviziju koji se odnose na radnu praksu.
10. Kada internu reviziju provodi vanjski pružatelj usluga, glavni revizor mora odrediti
i osigurati da se posao izvodi u skladu sa Standardima i standardima odjela za internu reviziju koji se odnose na radnu praksu. Prilikom kontrole posla vanjskog pružatelja usluga, glavni revizor treba ocijeniti adekvatnost obavljena posla. Takva ocjena uključuje dostatnost prikupljenih informacija koje daju razumnu osnovu za donošenje zaključaka i rješavanje značajnih iznimaka ili drugih neobičnih stvari.
98
Okvir profesionalnog djelovanja
11. Kada glavni revizor preda priopćenja o angažmanu, a korištene su usluge vanjskog pružatelja, glavni revizor može, prema potrebi, navesti takve pružene usluge. Vanjski pružatelj usluga o tome treba biti obaviješten i, prema potrebi, dati suglasnost prije nego se takav navod uvrsti u priopćenje o angažmanu.
99
Preporuke za rad
Preporuka za rad 1210.A2-1:Odgovornosti revizora u pogledu procjene
rizika od prijevare, sprječavanja i otkrivanja
Tumačenje Standarda 1210.A2 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1210.A2 – Interni revizor mora posjedovati dovoljno znanja da identificira pokazatelje prijevare, ali se ne očekuje da posjeduje stručnost osobe čija je primarna odgovornost otkrivanje i istraživanje prijevara.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u vezi prijevare. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni, nego daju preporučenu minimalnu razinu znanja o prijevari i radnjama koje treba poduzeti. Razina osposobljenosti i iskustva koju traži odjel za internu reviziju i osobe unutar odjela razlikovat će se ovisno o njihovim utvrđenim ulogama, kao i o konzultacijskim i profesionalnim uslugama koje od glavnog revizora očekuje rukovodstvo i uprava. Stoga, viši stupanj uključenosti zahtijeva veću stručnost.
Ovu preporuku za rad treba tumačiti zajedno s preporukom 1210.A2-2, Odgovornosti revizora u pogledu istraživanja prijevare, izvještavanja, rješavanja i priopćavanja
Što je prijevara?
Prijevara obuhvaća raspon nepravilnosti i nezakonitih radnji koje karakterizira namjerno obmanjivanje ili lažno prikazivanje za koje osoba zna da su lažne ili ne vjeruje da su istinite. U ovoj preporuci za rad i u preporuci 1210.A2-2, smjernice mogu spominjati određene radnje kao „prijevaru“, a koje su zakonski i/ili uobičajeno definirane kao korupcija. Prijevaru čini osoba koja je svjesna da će rezultat biti neka neovlaštena korist toj osobi, organizaciji, ili drugoj osobi, a mogu je počiniti osobe izvan ili unutar organizacije.
1. Prijevara na štetu organizacije u načelu se provodi zbog izravne ili neizravne koristi zaposlenika, osobe izvana ili druge organizacije. Neki primjeri su: • prihvaćanje mita ili darova• skretanje na zaposlenika ili osobu izvana potencijalno unosne transakcije koja bi
inače generirala profit za organizaciju • prijevara, koju uobičajeno predstavlja nezakonito prisvajanje novca ili imovine
i falsificiranje financijskih podataka u svrhu prikrivanja tog čina te na taj način otežava otkrivanje
100
Okvir profesionalnog djelovanja
• namjerno prikrivanje ili lažno prikazivanje događaja, transakcija ili podataka • potraživanje naknada za usluge ili robu koje nisu stvarno pružene organizaciji • namjerno nepoduzimanje radnji u situacijama gdje poduzeće ili zakon zahtijevaju
poduzimanje• neovlašteno ili bespravno korištenje povjerljivih ili zaštićenih informacija • neovlašteno ili bespravno rukovanje informacijskim mrežama ili operativnim
sustavima • krađa.
2. Prijevara osmišljena u korist organizacije u načelu rezultira u takvoj koristi kroz iskorištavanje nepravične ili nepoštene prednosti koja može zavarati stranku izvana. Počinitelji takvih djela obično stječu neizravnu osobnu korist, na primjer isplatu menadžerskog bonusa ili promaknuće. Primjeri prijevare u korist organizacije uključuju: • nepravilna plaćanja, kao što su nezakonite kontribucije političkim strankama,
mita, darovi, potplaćivanje državnih dužnosnika, posrednika državnih dužnosnika, klijenata ili dobavljača
• namjerno i nepropisno prikazivanje ili vrednovanje transakcija, imovine, obveza i prihoda, između ostalog
• namjerno i nepropisno određivanje prijenosa cijena (npr. određivanje vrijednosti roba koje razmjenjuju povezane organizacije). Kroz namjerno nepravilno strukturiranje tehnika određivanja cijena, rukovodstvo može poboljšati rezultate svog poslovanja na štetu druge organizacije
• namjerne i nepropisne radnje povezane stranke gdje jedna stranka stječe korist koju nije moguće steći u nepristranoj transakciji
• namjeran propust da se točno ili u potpunosti zabilježi ili otkrije važna informacija koja može dati bolju sliku organizacije vanjskim strankama
• prodaja ili prijenos fiktivne ili lažno prikazane imovine • namjerno nepoduzimanje radnji u situacijama gdje poduzeće ili zakon zahtijevaju
poduzimanje• zabranjene poslovne radnje, kao one kojima se krše državni zakoni, pravila,
propisi ili ugovori.
Osim navedenoga, postoje različiti načini klasifikacije ili kategorizacije prijevara. Revizor može htjeti istražiti informacije koje su objavile stručna računovodstvena ili društva i udruge za istraživanje prijevara kako bi utvrdili koja je metoda klasifikacije najprimjerenija za njihovu organizaciju.
Zašto dolazi do prijevara?
U načelu, tri čimbenika utječu na počinjenje prijevare. To su prilika, motiv i racionalizacija.
101
Preporuke za rad
1. Prilika
• Postupak može biti kreiran pravilno za uobičajene uvjete. Međutim, može se pojaviti prilika da nešto krene po zlu ili da se stvore okolnosti za neuspješnu kontrolu.
• Prilika za prijevaru može nastati zbog loše osmišljene kontrole ili nedostatka kontrolnih mehanizama. Na primjer, može biti ustrojen sustav koji izgleda kao da štiti imovinu, ali u kojemu, međutim, nedostaju važni kontrolni mehanizmi. Svatko tko je upoznat s takvom prazninom može uzeti što želi bez mnogo napora.
• Osobe na položajima s ovlastima mogu stvoriti prilike za poništavanje postojećih kontrola budući da im podređeni ili slabi kontrolni mehanizmi omogućavaju zaobilaženje pravila.
2. Motiv (također se naziva poticaj ili pritisak)
• Ljudi mogu racionalizirati o svojim postupcima, ali mora postojati motiv koji ih potiče na određeno ponašanje.
• Moć je sjajan poticatelj. Moć može biti običan rast ugleda u očima obitelji ili suradnika. Na primjer, mnoge računalne prijevare počinjene su da bi haker pokazao kako ima moć to učiniti, a ne zbog namjernog nanošenja štete.
• Drugi poticatelj je zadovoljenje želja, kao što su pohlepa ili ovisnost. • Treći poticatelj je pritisak, bilo da se radi o fizičkom stresu ili pritisku trećih
strana izvana.
3. Racionalizacija
• Najveći broj osoba sebe smatra dobrim ljudima, čak i ako katkada učine nešto loše. Kako bi sami sebe uvjerili da su i dalje dobri ljudi, takve osobe mogu smatrati da imaju pravo na ukradeni predmet, ili - ako i direktori krše pravila, onda je to prihvatljivo i za druge.
• Neki će ljudi počiniti stvari koje organizacija smatra neprihvatljivim ponašanjem, ali su u njihovom okruženju uobičajene ili ih je prijašnji poslodavac prihvaćao. Kao rezultat toga, takve osobe ne poštuju pravila koja njima nemaju smisla.
• Neke osobe mogu biti suočene s novčanim problemima, možda imaju skupu ovisnost ili su suočeni s drugom vrstom pritiska. Kao posljedica toga, oni racionaliziraju da samo posuđuju novac i da će ga vratiti jednom kada im se život poboljša. Ostali možda smatraju da krađa iz poduzeća nije loša pa na taj način depersonaliziraju tu radnju.
Iako revizori možda ne mogu saznati pravi motiv ili racionalizaciju koja je dovela do prijevare, od njih se očekuje da su dovoljno upoznati s internom kontrolom da mogu utvrditi prilike za prijevaru. Revizori također moraju razumjeti planove i scenarije za prijevaru, te biti svjesni znakova koji upućuju na prijevaru i kako ih spriječiti. Informacije koje su na
102
Okvir profesionalnog djelovanja
raspolaganju od IIA-e i ostalih stručnih udruženja ili organizacija treba preispitati kako bi se osiguralo da je znanje revizora aktualno.
Procjena rizika prijevare i kršenja dužnosti
Sve organizacije izložene su određenoj razini prijevare u svakom postupku gdje se zahtijeva ljudsko djelovanje. Stupanj do kojega je organizacija izložena riziku povezan je s rizicima prijevare koji su svojstveni poslu, opsegom učinkovitih internih kontrola za otkrivanje ili sprječavanje prijevare, te poštenjem i integritetom onih koji sudjeluju u tom procesu.
Rizik prijevare predstavlja vjerojatnost da će se dogoditi prijevara ili potencijalnu ozbiljnost ili posljedice za organizaciju kada do nje dođe. Vjerojatnost za prijevaru obično se temelji na tome koliko je lako počiniti prijevaru, motivacijskim čimbenicima koji dovode do prijevare, i povijesti društva s obzirom na prijevare. Upravljanje pojavom prijevara uključuje ograničavanje ili uklanjanje posljedica, što obuhvaća više od samog ograničavanja ili uklanjanja financijskog gubitka. Na primjer, za neke organizacije gubitak ugleda može imati značajan utjecaj na sposobnost privlačenja i zadržavanja kvalificiranog osoblja ili kupaca njihovih proizvoda, kao i dobivanje prostora i dozvola potrebnih za razvoj i održivost posla.
U svrhu procjene rizika od prijevare, interni revizori trebaju koristiti model za upravljanje rizikom poduzeća, ako ga organizacija ima. U suprotnome, revizori mogu koristiti ove smjernice:
1. Upoznati se s određenim planovima prijevara koje bi mogle ugroziti organizaciju. Koristiti mapu modela rizika i procijeniti osjetljivost organizacije, a koji uključuje sve rizike imanentne organizaciji. Također, model rizika trebao bi koristiti dosljedne kategorije (odnosno, ne bi smjelo biti preklapanja područja rizika) i mora biti dovoljno detaljan da omogući procjenu rizika da se utvrde i obuhvate predviđena visokorizična područja.
2. Okvir Upravljanja rizikom poduzeća Odbora sponzorskih organizacija (COSO) povjerenstva Treadway daje koristan model koji uključuje sljedeća poglavlja: • Određivanje događaja, kao što je iznošenje ideja, razgovori, fokusne skupine,
upitnici, istraživanje gospodarske grane i popisivanje događaja.• Procjene rizika koje uključuju vjerojatnosti i posljedice. • Strategije odgovora na rizik, kao što je postupanje, prijenos, toleriranje ili prekid
rizika. • Kontrolne aktivnosti, kao što je povezivanje rizika s postojećim programima za
suzbijanje prijevara i kontrolne aktivnosti te vrednovanje njihove učinkovitosti. • Praćenje, uključujući planove i programe revizije koji razmatraju preostale
prijevare i rizik zbog kršenja dužnosti.
103
Preporuke za rad
3. Prilikom procjene kontrola za sprječavanje ili smanjenje rizika od prijevara za organizaciju, potrebno je napraviti analizu troškova i koristi. U procjeni u obzir treba uzeti može li prijevaru počiniti pojedinac ili je potrebno dogovaranje. U praksi, 100 postotno sprječavanje prijevara nije moguće, a nije ni isplativo. U obzir treba uzeti i negativan utjecaj neopravdane sumnje u zaposlenike ili davanje dojma nepovjerenja u zaposlenike.
Elementi prevencije ili sprječavanja prijevara
Prevencija prijevare uključuje radnje koje obeshrabruju počinjenje prijevare i ograničavaju izloženost prijevari kada do nje dođe. Glavni mehanizam za sprječavanje prijevara je interna kontrola. Glavna odgovornost za utvrđivanje i održavanje interne kontrole treba počivati na upravi.
Slijede neki od kontrolnih elemenata programa za prevenciju prijevara koji je ogledno predstavljen unutar kontrolnog okvira COSO-a. Svaki element predstavlja valjan parametar, bez obzira na to koji kontrolni okvir koristi revizor.
1. Kontrolno okruženje. Kompanije moraju utemeljiti primjereno kontrolno okruženje koje uključuje: • pravila postupanja, politiku etike ili politiku protiv prijevara koja određuju
odgovarajući ton na samom vrhu • programe besplatnih telefonskih linija za etička pitanja i zviždače gdje mogu
prijaviti sumnje • smjernice i praksu za zapošljavanje i promaknuća • nadzor odbora za reviziju, uprave ili drugog nadzornog tijela • istraživanje prijavljenih problema i popravne mjere za potvrđena kršenja.
2. Procjena rizika od prijevare. Organizacije moraju utvrditi i procijeniti rizike od prijevara, uključujući procjenu potencijalnog netočnog financijskog izvještavanja, nezakonita prisvajanja imovine, nepravilnih računa i troškova ili financijsko kršenje dužnosti rukovodstva i ostalih. Poduzeća također trebaju procijeniti postoji li adekvatno razdvajanje dužnosti.
3. Kontrolne aktivnosti. Poduzeća moraju uspostaviti i provoditi učinkovitu kontrolu, uključujući radnje koje poduzima rukovodstvo za utvrđivanje, sprječavanje i ublažavanje lažnog financijskog izvještavanja ili zlouporaba imovine organizacije, te sprječavanje rukovodstva da zaobilazi kontrole. Osim toga, poduzeća trebaju uspostaviti postupak potvrđivanja ili certifikacije u svrhu potvrđivanja da je zaposlenik pročitao i razumio korporativnu politiku i da je se pridržava.
104
Okvir profesionalnog djelovanja
4. Informiranje i priopćavanje. Poduzeća moraju uspostaviti djelotvornu praksu informiranja i priopćavanja o prijevarama, uključujući dokumentiranje i distribuciju politika, smjernica i rezultata, prilike za raspravu o etičkim dvojbama, komunikacijske kanale, izobrazbu osoblja i razmatranje utjecaja i korištenja tehnologije za sprječavanje prijevara, kao što je trajno korištenje softvera za praćenje.
5. Praćenje. Organizacije trebaju provoditi trajno i povremeno ocjenjivanje radnog učinka te utvrditi utjecaj i korisnost računalne tehnologije za sprječavanje prijevara.
Uloga internog revizora
Interni revizori odgovorni su za pomaganje poduzećima u sprječavanju prijevara putem ispitivanja i procjene adekvatnosti i učinkovitosti njihovih internih sustava kontrole, proporcionalno opsegu potencijalne izloženosti unutar organizacije. Prilikom ispunjavanja svojih odgovornosti, interni revizori u obzir trebaju uzeti sljedeće elemente:
1. kontrolno okruženje - procjena aspekata kontrolnog okruženja, provođenje proaktivnih revizija i istraga protiv prijevara, priopćavanje rezultata revizija prijevara i osiguranje podrške nastojanjima za otklanjanje. U nekim slučajevima interni revizori mogu uspostaviti telefonsku liniju za zviždače.
2. procjena rizika od prijevare - ocjena procjene rizika od prijevare rukovodstva, osobito njihovih postupaka za identifikaciju, ocjenu i ispitivanje potencijalnih planova i scenarija za prijevaru ili kršenje dužnosti, uključujući one koji bi mogli uključivati dobavljače, izvođače i ostale stranke.
3. kontrolne aktivnosti - procjena ustroja i učinkovitosti kontrola rizika; osigurati da planovi i programi revizije nude rješenje za preostali rizik i uključuju revizije prijevara; ocijeniti konstrukciju prostorija iz perspektive prijevare ili krađe; pregled predloženih promjena zakona, propisa ili sustava i njihov utjecaj na kontrolu.
4. informiranje i priopćavanje - ocijeniti učinkovitost sustava za informiranje i priopćavanje i postupaka te osigurati podršku inicijativama za izobrazbu o prijevarama.
5. praćenje - ocijeniti aktivnosti praćenja i pripadajući računalni softver; provođenje istraga; podrška nadzoru odbora za reviziju koji se odnosi na kontrolu i pitanja prijevara; podrška razvoju pokazatelja prijevare; zapošljavanje i osposobljavanje zaposlenika u svrhu stjecanja odgovarajućeg iskustva za reviziju prijevara ili istragu.
105
Preporuke za rad
Otkrivanje prijevara
Rukovodstvo i interna revizija imaju različite uloge u pogledu otkrivanja prijevara. Slijedi opis svake od njih.
Uloga rukovodstva u otkrivanju prijevara
Rukovodstvo je odgovorno za utvrđivanje i održavanje učinkovitog sustava kontrole uz razuman trošak. To uključuje kreiranje nekih kontrola koje će pokazati kada ostale kontrole ne funkcioniraju ispravno. Postupanje po tim pokazateljima može rezultirati u utvrđivanju moguće prijevare.
Jedan primjer kontrole praćenja je uspostava i komunikacija putem telefonske linije ili sličnog sustava koji mogu koristiti klijenti ili zaposlenici za podnošenje pritužaba ili izražavanje zabrinutosti. Ostale kontrole za praćenje i otkrivanje uključuju:
• ugrađivanje alarmnih sustava na vrata i prozore prostora • ugrađivanje nadzornih kamera• instaliranje provjera uređivanja u informacijske sustave • popisivanje inventara• reviziju• kontroliranje i odobravanje faktura i rashodi troškovnog centra • sravnjenje računa.
Uloga internog revizora u otkrivanju prijevara
U stupnju u kojem prijevara može biti prisutna u radnjama koje su obuhvaćene uobičajenom revizijom, interni revizori odgovorni su za postupanje s dužnom profesionalnom pozornošću kako je definirano u Standardu 1220 Međunarodnih standarda za stručnu provedbu interne revizije u pogledu otkrivanja prijevara.
Međutim, od većine internih revizora ne očekuje se da posjeduju znanje istovjetno kao i osoba čija je glavna odgovornost otkrivanje i istraživanje prijevara. Također, sam postupak revizije, čak i kada je proveden s dužnom stručnom pozornošću, ne jamči da će prijevara biti otkrivena.
Dobro kreiran sustav interne kontrole ne smije pogodovati prijevari. Ispitivanja koja provode revizori poboljšavaju vjerojatnost da će bilo koji postojeći pokazatelji prijevare biti otkriveni i da će se po njima provesti daljnja istraga. Prilikom provođenja angažmana, odgovornosti internog revizora za otkrivanje prijevara su sljedeće:
• Prilikom ocjene ustroja kontrola treba uzeti u obzir procjenu rizika od prijevare i odrediti koje je korake u reviziji potrebno poduzeti. Od internih revizora ne očekuje se da otkriju prijevare i nepravilnosti, ali se od internih revizora očekuje dobivanje
106
Okvir profesionalnog djelovanja
opravdane potvrde o tome da su poslovni ciljevi za postupak koji se kontrolira postignuti, te da se otkriju nedostaci u materijalnoj kontroli – bilo zbog obične greške ili namjerno.
• Trebaju posjedovati dovoljno znanja o prijevari da mogu identificirati opasnosti koje upućuju na to da je možda počinjena prijevara. To znanje uključuje karakteristike prijevare, tehnike koje se koriste za počinjenje prijevare, i različite planove i scenarije za prijevare koji su povezani s aktivnostima pod kontrolom.
• Moraju biti na oprezu u pogledu prilika koje omogućuju prijevaru kao što su slabosti u kontroli. Ako se otkriju značajne slabosti u kontroli, dodatna ispitivanja revizori trebaju usmjeriti u identifikaciju ostalih pokazatelja prijevare. Neki primjeri pokazatelja su neovlaštene transakcije, iznenadna odstupanja u opsegu ili vrijednosti transakcija, zaobilaženje kontrola, neobjašnjene iznimke u cijenama, i neobično veliki gubici proizvoda. Interni revizori trebaju prepoznati da prisutnost više od jednog pokazatelja u bilo kojem trenutku povećava vjerojatnost da je počinjena prijevara.
• Ocjenjivanje pokazatelja prijevare i donošenje odluke o tome jesu li potrebne daljnje radnje ili treba preporučiti istragu.
• Obavijestiti nadležna tijela unutar organizacije ako je donesena odluka da je počinjena prijevara i preporučiti istragu.
107
Preporuke za rad
Preporuka za rad 1210.A2-2:Odgovornosti revizora u pogledu istraživanja prijevare,
izvještavanja, rješavanja i priopćavanja
Tumačenje Standarda 1210.A2 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1210.A2 – Interni revizor mora posjedovati dovoljno znanja da odredi pokazatelje prijevare, ali se ne očekuje da posjeduje stručnost osobe čija je primarna odgovornost otkrivanje i istraživanje prijevara.
Priroda ove preporuke za rad: Interni revizori u obzir trebaju uzeti sljedeće prijedloge u vezi prijevare. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni. Umjesto toga, preporučuje minimalnu razinu znanja o prijevari i nekim radnjama koje se mogu poduzeti. Razina osposobljenosti i iskustva koju traži odjel za internu reviziju i osobe unutar odjela razlikovat će se ovisno o njihovim utvrđenim ulogama, kao i o konzultacijskim i profesionalnim uslugama koje od glavnog revizora očekuju rukovodstvo i uprava. Viši stupanj uključenosti zahtijeva veću stručnost.
Ovu preporuku za rad treba tumačiti zajedno s preporukom 1210.A2-1, Odgovornosti revizora u pogledu rizika od prijevare, procjene, sprječavanja i otkrivanja
Istraživanje prijevare
Ovaj dio preporuke za rad ne odnosi se na aktivnost koja je poznata pod nazivom „revizija za otkrivanje prijevare“, a koja je definirana kao „revizija kreirana tako da proaktivno otkrije pokazatelje prijevare u onim postupcima ili transakcijama u kojima analiza upućuje na značajan rizik od prijevare“. Ova smjernica odnosi se na istrage koje se pokreću kada se unutar organizacije javi zabrinutost zbog propusta u kontroli ili sumnje u prijestup. Sumnje mogu biti rezultat službenog žalbenog postupka, neslužbenih dojava ili revizije, uključujući revizije koje su namijenjene ispitivanju prijevara.
Istraga prijevare sastoji se od prikupljanja dovoljno informacija o određenim detaljima i provođenju onih postupaka koji su neophodni za određivanje je li došlo do prijevare, gubitka ili izloženosti koji se povezuju s prijevarom, tko je bio umiješan i plana prijevare (kako se dogodila). Važan rezultat istrage je oslobađanje sumnji nedužnih osoba .
108
Okvir profesionalnog djelovanja
Istrage moraju biti organizirane tako da otkriju cijelu prirodu i opseg prijevare, a ne samo događaj temeljem kojega je počela istraga. Istraga uključuje pripremu radnih papira/podnošenja dokumenata za sudski postupak.
Interni revizori, odvjetnici, istražitelji, osoblje zaduženo za sigurnost i ostali stručnjaci unutar ili izvan organizacije stranke su koje obično provode istrage ili sudjeluju u istragama o prijevari.
Istrage i povezane radnje za rješavanje moraju biti vođene pozorno i u skladu s lokalnim zakonima. Zakoni mogu upućivati na to kako i gdje se provode istrage, disciplinski i postupci sanacije i priopćenja. U najboljem je interesu revizora, profesionalno i pravno, učinkovita suradnja s pravnim zastupnikom organizacije i upoznavanje s mjerodavnim zakonima. Ovdje dane smjernice namijenjene su međunarodnim korisnicima i zato su po prirodi općenite.
Uloga rukovodstva
Rukovodstvo je odgovorno za izradu kontrola istražnih postupaka, uključujući razvoj politika i postupaka za učinkovite istrage i standarde za postupanje s rezultatima istraga, izvještavanje i priopćavanje. Takvi standardi često su zabilježeni u politici za suzbijanje prijevara, a u izradu politike može biti uključena interna revizija.
Takve politike i postupci moraju u obzir uzeti prava uključenih pojedinaca, kvalifikacije osoba ovlaštenih za provođenje istrage i mjerodavne zakone zemalja i lokalnih vlasti gdje su prijevare počinjene ili gdje se istražuju. Politike trebaju u obzir uzeti opseg u kojem će rukovodstvo disciplinirati zaposlenike, dobavljače ili klijente, uključujući zakonske mjere za povrat gubitaka i građanski ili kazneni postupak. Važno je da rukovodstvo jasno odredi ovlasti i odgovornosti različitih uloga u sklopu istrage, posebno odnos između istražitelja i pravnog zastupnika. Također je važno da rukovodstvo odredi i pridržava se postupaka koji na najmanju mjeru svode interno priopćavanje o istrazi u tijeku, posebno u početnoj fazi.
Politika treba detaljno odrediti ulogu koju će istražitelj imati u donošenju odluke da je počinjena prijevara. Rukovodstvo mora razmotriti hoće li istražitelj ili rukovodstvo donijeti zaključak o prijevari ili će poduzeće činjenice uputiti na zaključak vanjskim tijelima. Mišljenje o tome da je počinjena prijevara u nekim pravosudnim sustavima mogu donijeti samo policijska ili sudbena tijela. Istraga može samo dovesti do zaključka da je prekršena politika poduzeća.
Uloga interne revizije
Ulogu interne revizije u istražnim radnjama treba definirati u povelji o internoj reviziji, kao i u politici za sprječavanje prijevara. Na primjer, interna revizija može imati primarnu
109
Preporuke za rad
odgovornost za istraživanje prijevara, može djelovati kao izvor za istrage ili se mora suzdržati od sudjelovanja u istragama (budući da je odgovorna za ocjenu učinkovitosti istrage). Svaka je od ovih uloga prihvatljiva sve dok se prepoznaje i primjereno rješava utjecaj tih radnji na neovisnost interne revizije.
Kako bi se zadržala stručnost, ekipe za istragu prijevara moraju steći dovoljno znanja o planovima za prijevaru, istražnim tehnikama i zakonima. Postoje nacionalni i internacionalni programi za izobrazbu i certificiranje istražitelja i forenzičkih stručnjaka.
Ako je interna revizija odgovorna za osiguranje provođenja istrage, ona može provoditi istragu s osobljem zaposlenim u organizaciji, može angažirati vanjskog izvršitelja ili kombinacijom obiju mogućnosti. U nekim slučajevima interna revizija također može kao pomoć koristiti zaposlenike u organizaciji koji nisu revizori.
Često je važno okupiti istražni tim bez odgađanja. Ako organizacija treba vanjske stručnjake, glavni revizor treba razmotriti prethodnu kvalifikaciju pružatelja usluga kako bi vanjski resursi bili brzo na raspolaganju.
U poduzećima gdje glavna odgovornost za istražne radnje nije dodijeljena internoj reviziji, od internih se revizora može zatražiti pomoć u prikupljanju informacija i davanju preporuka za poboljšanje internih kontrola.
Uloga istražitelja (bilo da je dodijeljena internoj reviziji ili vanjskim izvršiteljima)
Plan istrage mora biti sastavljen za svaku istragu, u skladu s istražnim protokolima organizacije. Glavni istražitelj mora odrediti potrebno znanje, vještine i ostale kompetencije za učinkovito provođenje istrage, te u tim imenovati odgovarajuće ljude. Ovaj postupak treba uključivati potvrdu da nema potencijalnog sukoba interesa u odnosu na one koji su obuhvaćeni istragom ili bilo kojeg zaposlenika u organizaciji.
Plan u obzir treba uzeti metode za: • prikupljanje dokaza, kao što su nadzor, intervjui ili pisane izjave • evidentiranje dokaza, u skladu sa zakonskim pravilima o dokazima i poslovnom
korištenju dokaza• određivanje opsega prijevare • utvrđenje plana (tehnike korištene za počinjenje prijevare) • procjenu uzroka • identificiranje počinitelja.
U bilo kojoj fazi ovog postupka istražitelj može zaključiti da pritužba ili sumnja nisu opravdane te zaključiti slučaj.
110
Okvir profesionalnog djelovanja
Prema potrebi, radnje treba koordinirati s rukovodstvom, pravnim zastupnikom i ostalim stručnjacima, kao na primjer rukovodstvom za upravljanje kadrovima i upravljanje osiguranjem od rizika tijekom cijele istrage.
Istražitelji moraju posjedovati znanje i biti upoznati s pravima osoba koje su obuhvaćene istragom te ugledom same organizacije.
Treba ocijeniti razinu i opseg suučesništva u prijevari u organizaciji. Takva ocjena može biti ključna kako bi se osiguralo da glavni dokazi ne budu uništeni ili narušeni, te da bi se izbjegle obmanjujuće informacije od osoba koje su možda umiješane.
Izvještavanje o prijevarama
Izvještavanje o prijevarama sastoji se od različitih usmenih ili pisanih, privremenih ili konačnih priopćenja koja su upućena višem menadžmentu i/ili upravnom odboru u pogledu statusa i rezultata istraga o prijevarama. Izvještaji mogu biti preliminarni i podnositi se tijekom istrage. Nakon svakog usmenog informiranja rukovodstva ili upravnog odbora može se podnijeti pisani izvještaj kako bi se evidentirali nalazi.
Odjeljak 2400 Međunarodnih standarda za stručnu provedbu interne revizije daje informacije koje se primjenjuju na priopćavanje o angažmanu. Slijede dodatne smjernice o internom izvještavanju o prijevarama:
• Nacrt prijedloga konačnih priopćenja o prijevari treba predati pravnom zastupniku na kontrolu. U slučajevima kada organizacija ima mogućnost pozvati se na pravo korisnika i to iskoristi, izvještaj mora biti upućen pravnom zastupniku.
• Kada se s utemeljenom sigurnošću utvrde incidenti značajne prijevare ili narušavanja povjerenja, viši menadžment i upravni odbor odmah moraju biti obaviješteni.
• Rezultati istrage o prijevari mogu upućivati na to da je prijevara mogla imati prethodno neotkriven štetan utjecaj na financijski položaj organizacije i njezine poslovne rezultate za jednu ili više godina za koju(e) su već izdani financijski izvještaji. Viši menadžment i upravni odbor moraju biti obaviješteni o takvom otkriću.
• Na kraju istražne faze treba podnijeti pisani izvještaj o ostalim formalnim priopćenjima. Njime treba biti obuhvaćen temelj za pokretanje istrage, rokovi, zapažanja, zaključci, rezolucije i poduzete korektivne radnje (ili preporuke) za ispravljanje kontrola. Ovisno o tome kako je riješena istraga, izvještaj mora biti sastavljen tako da osigura tajnost uključenim osobama. Sadržaj takvog izvještaja je osjetljiv i isti mora ispunjavati zahtjeve upravnog odbora i rukovodstva, a istovremeno mora biti u skladu sa zakonskim odredbama i ograničenjima te politikama i postupcima poduzeća.
111
Preporuke za rad
Rješavanje prijevara
Rukovodstvo, a ne interni revizor ili istražitelj, odgovorno je za rješavanje incidenata prijevara. Rješavanje se sastoji od odlučivanja koje će radnje poduzeti organizacija nakon što je u potpunosti istražen plan prijevare i počinitelj(i) i nakon što se preispitaju dokazi.
Interni revizori trebaju ocijeniti činjenice istraga i savjetovati rukovodstvo u pogledu ispravljanja slabosti u kontroli koje su dovele do prijevare. Revizori moraju kreirati dodatne korake u redovitim programima revizije ili razviti programe „revizije za otkrivanje prijevara“ kako bi pomogli u otkrivanju sličnih prijevara u budućnosti.
Politike i postupci rukovodstva za suzbijanje prijevara (spomenuti ranije u Preporukama za rad) trebaju definirati tko ima ovlasti i odgovornosti za pojedini postupak. Interni revizori mogu biti uključeni kao savjetnici u sljedećim postupcima, sve dok se prepoznaje i primjereno postupa u pogledu utjecaja tih aktivnosti na neovisnost interne revizije. Rješavanje može uključivati sve ili nešto od sljedećeg:
• osigurati zaključenje osobama koje su u početku bile pod sumnjom, ali za koje se utvrdilo da su nedužne
• osigurati zaključenje onima koji su prijavili sumnju• izreći disciplinske mjere zaposleniku u skladu sa standardima poduzeća, propisima
o radnom odnosu ili ugovoru u radu• zahtijevanje dobrovoljne odštete od zaposlenika, klijenta ili dobavljača• raskid ugovora s dobavljačima• prijavljivanje incidenta policiji, regulatornim tijelima ili sličnim tijelima te suradnja
u njihovoj istrazi• pokretanje građanske parnice ili sličnog sudskog postupka • potraživanje iz osiguranja• podnošenje pritužbe stručnoj udruzi koje je počinitelj član.
Osim savjetovanja klijenata, interni revizori mogu se uključiti u: • praćenje istražnog postupka kako bi osigurali da se organizacija pridržava
mjerodavnih politika, postupaka, zakona i propisa (kada interna revizija nije zadužena za provođenje istrage)
• lociranje i/ili osiguranje nezakonito stečene ili povezane imovine • podrška pravnim radnjama organizacije, osiguranja ili drugim radnjama za povrat • procjena i praćenje unutarnjih i vanjskih izvještaja organizacije nakon istrage i
planove i postupke priopćavanja • praćenje provedbe preporučenih poboljšanja u kontroli u svrhu osiguranja
pravovremenosti, djelotvornosti i učinkovitosti
112
Okvir profesionalnog djelovanja
Priopćenja
Kako bi se ograničio rizik od neovlaštene distribucije neprimjerenih i/ili netočnih informacija, interni revizor može dati savjet rukovodstvu o ustroju komunikacijske strategije i taktičkog plana čim je ranije moguće u istrazi.
Osim prije navedenog izvještavanja o prijevarama, postoje dvije vrste priopćenja koje mogu dovesti do pokretanja istrage: javna neplanirana priopćenja i planirana interna priopćenja.
Najbolje je da svaki komentar koji rukovodstvo iznese tisku, policiji i ostalim vanjskim subjektima koordinira pravni zastupnik. Komentare treba davati samo ovlašteni glasnogovornik.
Interna priopćenja predstavljaju strateški instrument koji rukovodstvo koristi da bi ojačalo svoj položaj u pogledu integriteta, dokazalo da poduzima odgovarajuće radnje u slučaju kršenja politike poduzeća te da bi pokazalo zbog čega su važne interne kontrole. Takva priopćenja mogu biti u obliku članka u biltenu, memoranduma rukovodstva ili se situacija u organizaciji može iskoristiti kao primjer u sklopu programa izobrazbe o poštenju. Takva se priopćenja u načelu šalju interno nakon što je slučaj riješen i ne otkrivaju imena počinitelja ili druge detalje istrage koji nisu nužni da bi se prenijela poruka ili koji bi bili suprotni zakonu.
Istraga i rezultati istrage mogu dovesti do značajnog stresa i moralnih problema koji mogu poremetiti organizaciju, posebno kada prijevara izađe u javnost. Rukovodstvo može isplanirati interaktivne sastanke i/ili strategije za jačanje timskog duha za ovakve situacije.
Stvaranje mišljenja o sustavu interne kontrole za sprječavanje prijevara
Rukovodstvo ili upravni odbor od internog revizora može zatražiti mišljenje o sustavu interne kontrole za sprječavanje prijevara u organizaciji. Revizori mogu koristiti različite preporuke za rad iz serije 2410 ili druge instrumente za pomoć IIA-e, kao što su Praktične smjernice za internu reviziju za davanje mišljenja o internim kontrolama, kako bi utvrdili jesu li u dovoljnoj mjeri razmotrili sve povezane informacije prije nego što daju mišljenje.
113
Preporuke za rad
Preporuka za rad 1220-1:Dužna profesionalna pozornost
Tumačenje Standarda 1220 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 12202 – Dužna profesionalna pozornostInterni revizori moraju postupati s pozornošću i vještinom koja se očekuje od razborita i stručnog internog revizora. Dužna stručna pozornost ne podrazumijeva nepogrješivost.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene dužne profesionalne pozornosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Dužna profesionalna pozornost zahtijeva zornost i vještinu razborita i stručnog internog revizora u istim ili sličnim okolnostima. Dakle, profesionalna pozornost mora biti primjerena složenosti angažmana. Prilikom postupanja s dužnom profesionalnom pozornošću, interni revizori moraju obratiti pozornost na namjerno protupravno postupanje, greške i propuste, neučinkovitost, uništavanje, nedjelotvornost i sukobe interesa. Također moraju obratiti pozornost na one uvjete i radnje koje su najizglednije za pojavu prijevare. Osim toga, trebaju utvrditi neadekvatne kontrole i preporučiti poboljšanja u svrhu unaprjeđenja poštivanja prihvatljivih postupaka i prakse.
2. Dužna pozornost podrazumijeva odgovarajuću brigu i stručnost, ne nepogrešivost ili izvanredan učinak. Dužna pozornost zahtijeva od revizora provođenje ispitivanja i provjere u razumnom opsegu, ali ne zahtijeva detaljne kontrole svih transakcija. U skladu s tim, interni revizori ne mogu dati potpunu potvrdu da ne postoje neusklađenosti ili nepravilnosti. No, ipak, mogućnost značajnih nepravilnosti ili neusklađenosti treba uzeti u obzir kada interni revizor provodi internu reviziju.
114
Okvir profesionalnog djelovanja
Preporuka za rad 1220-2:Računalno podržane revizijske tehnike (CAAT alati)
Tumačenje Standarda 1220.A2 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1220.A2 – Dužna profesionalna pozornost U postupanju s dužnom profesionalnom pozornošću interni revizor mora razmotriti korištenje računalno podržanih revizijskih alata i ostalih tehnika za analizu podataka.
Ova preporuka za rad usvojena je iz Smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA) – Korištenje računalno podržanih tehnika revizije (CAAT alata), dokument G3. Ovu smjernicu za reviziju informacijskih sustava (IS) objavila je ISACA u prosincu 1998. godine. ISACA je dala odobrenje i pristanak za korištenje i usvajanje ovog dokumenta. U slučaju kada se ova preporuka za rad na bilo koji način razlikuje od smjernica/postupka koje propisuje ISACA, ISACA ne jamči točnost niti potvrđuje takve promjene.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom revizije kontrola informacijskih sustava. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja revizije IS-a, nego preporučuju osnovni skup odgovornosti revizora višeg stupnja kao nadopunu detaljnim planovima. Sukladnost s preporukama za rad je po izboru.
1. Potreba za smjernicama
Računalno podržane revizijske tehnike (CAAT alati) predstavljaju važno oruđe za revizora prilikom revizije. CAAT alati uključuju mnoge vrste oruđa i tehnika, kao što su općeniti revizijski softver, uslužni softver, testni podaci, aplikacijski softver za praćenje i preslikavanje i stručni sustavi za reviziju. CAAT alati mogu se koristiti za obavljanje različitih revizijskih postupaka, uključujući:
• ispitivanje detalja transakcija i bilance • analitičku kontrolu• ispitivanje sukladnosti općih kontrola IS-a • ispitivanje sukladnosti aplikacijskih kontrola IS-a • ispitivanje dostupnosti.
115
Preporuke za rad
CAAT alati mogu generirati velik dio revizijskih dokaza na temelju revizija, a kao rezultat revizor mora pomno planirati i postupati s dužnom stručnom pozornošću prilikom korištenja CAAT alata.
2. Planiranje
Čimbenici koji utječu na odluku o korištenju CAAT alata
Prilikom planiranja revizije, revizor mora razmotriti odgovarajuću kombinaciju manualnih tehnika i CAAT alata. Prilikom odlučivanja o korištenju CAAT alata, u obzir treba uzeti ove čimbenike:
• poznavanje računala, stručnost i iskustvo revizora• raspoloživost prikladnih CAAT alata i uređaja IS-a • učinkovitost i djelotvornost korištenja CAAT alata u usporedbi s manualnim
tehnikama• vremenska ograničenja• integritet informatičkih sustava i IT okruženja • razinu rizika revizije.
Planiranje korištenja CAAT alata
Glavni koraci koje revizor mora poduzeti u pripremi za primjenu odabranih CAAT alata su:
• određivanje ciljeva revizije korištenja CAAT alata • utvrđivanje dostupnosti i raspoloživosti IS-a u organizaciji, programa/sustava i
podataka• definiranje postupaka koje treba poduzeti (npr. statističko uzorkovanje, ponovni
obračun, potvrđivanje, itd.)• definiranje zahtjeva u pogledu rezultata • određivanje izvora, odnosno osoblja, CAAT alata, okruženja za obradu (uređaja IS-a
u organizaciji ili uređaji IS-a revizije)• dobivanje pristupa IS-a u organizaciji, programima/sustavima i podacima, uključujući
definicije datoteka• zabilježiti koji će se CAAT alati koristiti, uključujući ciljeve, dijagrame toka visoke
razine i upute za korištenje.
Dogovori s klijentom
Podatkovne datoteke, kao što su detaljne datoteke o transakcijama, često se čuvaju kratko vrijeme; stoga revizor treba dogovoriti čuvanje podataka koji obuhvaćaju odgovarajući vremenski okvir za reviziju. Pristup IS-a, programima/sustavima i podacima u organizaciji treba dogovoriti dosta prije potrebnog vremena kako bi se na najmanju mjeru sveo utjecaj na proizvodno okruženje u organizaciji. Revizor treba procijeniti utjecaj koji promjene
116
Okvir profesionalnog djelovanja
proizvodnih programa/sustava mogu imati na korištenje CAAT alata. Pritom revizor treba u obzir uzeti utjecaj tih promjena na integritet i korisnost CAAT alata, kao i integritet programa/sustava i podataka koje koristi revizor.
Ispitivanje CAAT alata
Revizor mora pribaviti odgovarajuću potvrdu o integritetu, pouzdanosti, korisnosti i sigurnosti CAAT alata putem primjernog planiranja, kreiranja, ispitivanja i kontrole dokumentacije. To treba obaviti prije nego se planira korištenje CAAT alata. Priroda, vrijeme i opseg ispitivanja ovise o komercijalnoj dostupnosti i stabilnosti CAAT alata.
Sigurnost podataka i CAAT alata
Kada se CAAT alati koriste za izvlačenje informacija za analizu podataka, revizor mora potvrditi integritet informatičkog sustava i IT okruženja iz kojeg se podaci dobivaju. CAAT alati mogu se koristiti za izvlačenje osjetljivih programskih/sistemskih informacija i proizvodnih podataka koje treba čuvati kao povjerljive. Revizor treba čuvati programske/sistemske informacije i proizvodne podatke uz odgovarajući stupanj povjerljivosti i zaštite. Pritom revizor u obzir treba uzeti stupanj povjerljivosti i zaštite koji zahtijeva organizacija koja posjeduje podatke i sve mjerodavne zakone. Revizor treba koristiti i evidentirati rezultate određenih postupaka kako bi osigurao stalan integritet, pouzdanost, korisnost i sigurnost CAAT alata. Na primjer, to uključuje kontrolu održavanja programa i kontrole promjene programa integriranog softvera za reviziju kako bi se utvrdilo da su u CAAT alatima rađene samo ovlaštene izmjene. Kada se CAAT alati nalaze u okruženju koje nije pod kontrolom revizora, na snazi mora biti odgovarajući stupanj kontrole kako bi se utvrdile promjene u CAAT alatima. Kada su CAAT alati izmijenjeni, revizor mora dobiti potvrdu o njihovu integritetu, pouzdanosti, korisnosti i sigurnosti kroz odgovarajuće planiranje, oblikovanje, ispitivanje i kontrolu dokumentacije prije nego se planira korištenje CAAT alata.
3. Obavljanje revizije
Prikupljanje revizijskih dokaza
Revizor mora kontrolirati korištenje CAAT alata kako bi se uvjerio da su ispunjeni ciljevi revizije i detaljne specifikacije CAAT alata. Revizor mora:
• prema potrebi, uskladiti kontrolne sume • prekontrolirati ispravnost rezultata • prekontrolirati logiku, parametre ili druge značajke CAAT alata • prekontrolirati opće kontrole IS-a u organizaciji koje mogu doprinijeti integritetu
CAAT alata (npr. kontrole promjene programa i pristupa sustavu, programske i/ili podatkovne datoteke).
117
Preporuke za rad
Opći revizijski softverski alati
Prilikom korištenja općih revizijskih softverskih alata za pristup proizvodnim podacima, revizor mora poduzeti primjerene korake u svrhu zaštite integriteta podataka organizacije. Uz integrirani revizijski softver, revizor mora sudjelovati u kreiranju sustava, a moraju se razviti i održavati tehnike unutar organizacijskih aplikacijskih programa/sustava.
Uslužni softver
Kada koristi uslužni softver, revizor mora potvrditi da tijekom obrade nije došlo do neplaniranih intervencija te da je uslužni softver nabavljen iz odgovarajuće sistemske biblioteke. Revizor također mora poduzeti odgovarajuće korake da bi zaštitio integritet sustava organizacije i datoteka budući da ti uslužni programi lako mogu oštetiti sustav i datoteke u njemu.
Testni podaci
Prilikom korištenja ispitnih podataka, revizor mora biti svjestan da ispitni podaci samo upućuju na moguću pogrešnu obradu; tom se tehnikom ne procjenjuju stvarni proizvodni podaci. Revizor također mora biti svjestan da analiza ispitnih podataka može biti vrlo složena i vremenski zahtjevna, ovisno o broju obrađenih transakcija, broju ispitanih programa i složenosti programa/sustava. Prije korištenja ispitnih podataka revizor mora potvrditi da ispitni podaci neće trajno utjecati na sustave u funkciji.
Slijeđenje i preslikavanje pomoću aplikacijskog softvera
Prilikom slijeđenja i preslikavanja pomoću aplikacijskog softvera revizor mora potvrditi da je ciljni program koji se trenutačno koristi u proizvodnji generiran koristeći izvorni kod koji se vrednuje. Revizor mora biti svjestan da slijeđenja i preslikavanja pomoću aplikacijskog softvera samo upućuje na moguću pogrješnu obradu; ono ne vrednuje stvarne proizvodne podatke.
Stručni revizijski sustavi
Kada koristi stručne revizijske sustave, revizor mora biti dobro upoznat s funkcioniranjem sustava kako bi potvrdio da su donesene odluke primjerene za predmetno revizijsko okruženje/situaciju.
118
Okvir profesionalnog djelovanja
4. Dokumenti CAAT alata
Radni spisi
Postupak korištenja CAAT alata po koracima treba biti dokumentiran u dovoljnoj mjeri da osigura adekvatne revizijske dokaze. Posebno, radna dokumentacija o reviziji treba sadržavati dovoljno dokumenata koji opisuju primjenu CAAT alata, zajedno s detaljima koji su navedeni po sljedećim odlomcima.
Planiranje
Dokumentacija mora sadržavati: • ciljeve CAAT alata • popis koji će se CAAT alati koristiti • kontrole koje će se obaviti• broj osoblja i vrijeme.
Provedba
Dokumentacija mora sadržavati: • pripremu CAAT alata, postupke ispitivanja i kontrola • detalje o ispitivanju koje je provedeno pomoću CAAT alata • detalje o unosima (npr. korištenim podacima, raspored datoteka), obradi (npr.
dijagrami toka visoke razine CAAT alata, logika) i rezultatima (npr. dnevnici rada, izvještaji)
• popise relevantnih parametara ili izvorni kod.
Revizijski dokazi
Dokumentacija mora sadržavati: • dobivene rezultate• opis obavljene revizijske analize rezultata • nalaze revizije• zaključke revizije • preporuke revizije.
5. Izvještavanje
Opis CAAT alata
Poglavlje izvještaja o ciljevima, opsegu i metodologiji treba jasno opisivati koji su CAAT alati korišteni. Ovaj opis ne treba biti pretjerano detaljan, ali mora dati jasan prikaz čitatelju.
119
Preporuke za rad
Opis korištenih CAAT alata također mora biti u glavnom tekstu izvještaja, u dijelu gdje se raspravlja o određenom nalazu u vezi s korištenjem CAAT alata. Ako se opis korištenih CAAT alata može primijeniti na više nalaza, ili ako je previše detaljan, to treba ukratko biti raspravljeno u odlomku izvještaja o ciljevima, opsegu i metodologiji, a čitatelj mora biti upućen na dodatak koji sadrži detaljniji opis.
Pojmovnik
Slijeđenje i preslikavanje pomoću aplikacijskog softvera: specijalizirani alati koji se mogu koristiti za analizu toka podataka kroz obradu logike aplikacijskog softvera te za dokumentiranje logike, putanja, kontrolnih uvjeta i redoslijed obrade. Jezik naredaba ili upravljačke naredbe i programski jezik mogu se analizirati. Ova tehnika uključuje: preslikavanje, slijeđenje, trenutačne prikaze, usporedne simulacije i usporedbe kodova programa/sustava.
Stručni revizijski sustavi: sustavi podrške za stručnjake ili odlučivanje koji se mogu koristiti da pomognu revizorima u donošenju odluka kroz automatiziranu obradu znanja stručnjaka u tom području. Ova tehnika uključuje automatiziranu analizu rizika, sistemskog softvera i kontrolne ciljeve softverskih paketa.
Računalno podržane revizijske tehnike (CAAT alati): bilo koja automatizirana tehnika revizije, kao što je općeniti revizijski softver, uslužni softver, ispitni podaci, slijeđenje i preslikavanje pomoću aplikacijskog softvera i stručni revizijski sustavi.
Općeniti revizijski softver: računalni program ili niz programa koji su kreirani za obavljanje određenih automatskih funkcija. Te funkcije uključuju čitanje računalnih datoteka, odabir podataka, rukovanje podacima, izračune, odabir uzoraka, i tiskanje izvještaja ili pisama u obliku koji odredi revizor. Ova tehnika uključuje softver koji je nabavljen ili napisan za potrebe revizije i softver koji je integriran u proizvodne sustave.
Ispitni podaci: simulirane transakcije koje se mogu koristiti za ispitivanje logike obrade, izračune i kontrole koje su programirane u računalnim aplikacijama. Mogu se ispitati zasebni programi ili cijeli sustav. Ova tehnika uključuje integrirane ispitne uređaje (Integrated Test Facilities – ITF) i osnovne naredbe za vrednovanje sustava (Base Case System Evaluations – BSCE).
Uslužni softver: računalni programi koje osigura proizvođač računalnog hardvera ili prodavatelj softvera i koji se koriste za funkcioniranje sustava. Ova tehnika može se koristiti za ispitivanje obrade, testne programe, sistemske radnje i operativne postupke, aktivnosti pohranjivanja podataka i analizu podataka koji potkrjepljuju posao.
120
Okvir profesionalnog djelovanja
Preporuka za rad 1230-1:Kontinuirani profesionalni razvoj
Tumačenje Standarda 1230 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1230 – Kontinuirani profesionalni razvoj Interni revizori moraju unaprjeđivati svoje znanje, vještine i ostale kompetencije kroz kontinuiran profesionalni razvoj.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u pogledu kontinuirana profesionalnog razvoja. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori odgovorni su za svoj kontinuirani razvoj kako bi zadržali stručnost. Trebaju se informirati o poboljšanjima i razvoju u standardima, postupcima i tehnikama interne revizije. Trajna izobrazba može se postići članstvom i sudjelovanjem u stručnim udruženjima; sudjelovanjem na konferencijama, seminarima, tečajevima na fakultetima i programima izobrazbe na radnom mjestu te sudjelovanjem u istraživačkim projektima.
2. Interni revizori potiču se da dokažu svoju stručnost dobivanjem odgovarajućeg dokaza o kvalifikaciji, kao što je zvanje ovlašteni interni revizor, te druga zvanja koje daje Institut internih revizora (IIA).
3. Interni revizori koji imaju potvrdu o kvalifikaciji trebaju se i dalje usavršavati u dovoljnoj mjeri da zadovolje uvjete potvrde o kvalifikaciji koju imaju.
4. Interni revizori koji trenutačno ne posjeduju odgovarajuće potvrde potiču se da upišu jedan od programa izobrazbe u svrhu dobivanja potvrde o stručnosti.
121
Preporuke za rad
Preporuka za rad 1300-1:Program osiguranja kvalitete i unaprjeđenja
Tumačenje Standarda 1300 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1300 – Program osiguranja kvalitete i unaprjeđenjaGlavni interni revizor mora uspostaviti i održavati program osiguranja kvalitete i unapređenja koji obuhvaća sve aspekte interne revizije i kontinuirano nadzire učinkovitost. Taj program uključuje povremene interne i vanjske kontrole kvalitete i trajno interne praćenje. Svaki dio programa treba biti osmišljen tako da pomogne internoj reviziji da doda vrijednost i unaprijedi poslovanje organizacije te osigura da interna revizija poštuje Standarde i Etički kodeks.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izrade ili procjene programa kvalitete. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovite programe kvalitete ili njihovu ocjenu, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.
1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Kako bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja.
2. Provedba programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za provedbu postupaka koji trebaju dati odgovarajuće jamstvo različitim zainteresiranim stranama interne revizije da ona: • postupa u skladu s poveljom, koja mora biti sukladna Standardima i Etičkom kodeksu• posluje na učinkovit i djelotvoran način• da je zainteresirane strane percipiraju kao da dodaje vrijednost i unaprjeđuje poslovanje organizacije.
3. Priroda i opseg programa osiguranja kvalitete i unaprjeđenja – program osiguranja kvalitete i unaprjeđenja mora biti dovoljno sveobuhvatan kako bi uključio sve aspekte djelovanja i upravljanja internom revizijom, kao što je propisano u
122
Okvir profesionalnog djelovanja
Standardima i najboljoj praksi. Program osiguranja kvalitete i unaprjeđenja treba provoditi glavni revizor ili mora biti pod njegovim izravnim nadzorom. Osim u malim aktivnostima interne revizije, glavni revizor obično prenosi većinu odgovornosti u sklopu programa osiguranja kvalitete i unaprjeđenja na podređene zaposlenike. U velikim ili složenim okruženjima (na primjer, brojne poslovne jedinice i/ili lokacije), glavni revizor mora uspostaviti formalnu funkciju programa osiguranja kvalitete i unaprjeđenja koja je neovisna u pogledu segmenata revizije i savjetovanja djelatnosti interne revizije. Na čelu takve neovisne funkcije treba biti rukovoditelj revizor. Takav rukovoditelj (i ograničen broj osoblja) obično ne provodi sve odgovornosti u sklopu programa osiguranja kvalitete i unaprjeđenja nego upravlja i prati takve aktivnosti.
4. Ključni elementi programa osiguranja kvalitete i unaprjeđenja – program osiguranja kvalitete i unaprjeđenja mora biti strukturiran tako da postigne optimalnu razinu stručne osposobljenosti, a kontrole se trebaju provoditi, u opsegu u kojem je to izvedivo, neovisno o funkcijama i djelatnostima koje se kontroliraju. Sljedeći ključni elementi interne revizije – koje provodi ili kojima upravlja osoba ili funkcijska jedinica prema uputama glavnog revizora – trebaju biti uzeti u obzir za funkciju programa osiguranja kvalitete i unaprjeđenja: • nadzor nad razvojem i provedbom politika/postupaka interne revizije; upravljanje/
održavanje politika/priručnika za postupanje interne revizije • pomoć glavnom revizoru i rukovodstvu revizije u planiranju proračuna i
upravljanju financijama za djelatnost interne revizije• održavanje i ažuriranje sveobuhvatnog rizika revizije, uključujući prikupljanje i
unos novih informacija koje utječu na reviziju; nadzor nad podjelom odgovornosti u internoj reviziji, vanjskoj reviziji i ostalim funkcijama za evaluaciju i istrage
• upravljanje općenitim djelovanjem sustava za procjenu rizika revizije i dugoročnog planiranja – pomaganje glavnom revizoru i rukovodstvu revizije u tom području
• pomoć u cjelokupnom postupku planiranja rasporeda revizije i savjetovanja te s tim povezano praćenje rokova
• pomoć rukovodstvu interne revizije u nabavi, održavanju i korištenju alata za reviziju i ostale tehnologije
• obavljanje vanjskog zapošljavanja i sudjelovanje interne revizije u rotaciji osoblja unutar organizacije te upravljanje razvojnim programima
• nadzor nad stručnim osposobljavanjem i usavršavanjem/razvojem osoblja – na primjer, odabir ili osmišljavanje razvojnih i programa izobrazbe provođenje povezanog planiranja karijera i procjene, uključujući sustav praćenja profesionalnog razvoj za svakog pojedinog zaposlenika
• nadzor sustava za statistiku/metriku interne revizije i za analize nakon revizije te ostale analize (npr. klijenata i drugih zainteresiranih strana u internoj reviziji)
• provođenje/praćenje osiguranja kvalitete i obrada radnji za unaprjeđenje, uključujući formalne interne i vanjske ocjene kvalitete
123
Preporuke za rad
• nadzor nad/upravljanje prikupljanjem informacija i sastavljanjem periodičkih sažetih izvještaja koje interna revizija podnosi višem menadžmentu i odboru za reviziju (uključujući izvještaje o rezultatima internih i vanjskih ocjena kvalitete)
• upravljanje/održavanje cjelovite baze podataka s preporukama i akcijskim planovima koji nastanu kao rezultat angažmana internih revizora i rada vanjskih revizora i ostalih funkcija internog vrednovanja i istrage
• pomoć glavnom revizoru, rukovodstvu revizije i osoblju interne revizije da budu u toku sa Standardima i ostalim promjenama koje rezultiraju iz najbolje prakse struke interne revizije, regulatornih pitanja i ostalih stvari i prilika koje se pojave – pod upravljanjem rukovodstva interne revizije
• riječi „pomaganje, upravljanje, praćenje i održavanje“ trebaju naznačiti da nije nužno da osoba(e) koja(e) obavljaju funkciju programa osiguranja kvalitete i unaprjeđenja obavljaju veći dio tog posla. Ona se može dodijeliti – ili ad hoc za određene zadaće ili dugoročno – drugim rukovoditeljima u internoj reviziji i osoblju, ali ih nadzire, njima upravlja itd. kroz program osiguranja kvalitete i unaprjeđenja
124
Okvir profesionalnog djelovanja
Preporuka za rad 1310-1:Ocjene programa kvalitete
Tumačenje Standarda 1310 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1310 – Ocjene programa kvalitete Interna revizija treba usvojiti postupke za praćenje i ocjenu cjelokupne učinkovitosti programa kvalitete. Takav postupak mora uključivati interno i vanjsko ocjenjivanje.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge u prilikom izrade ili ocjenjivanja programa kvalitete. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovite programe kvalitete ili njihovu ocjenu, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.
1. Praćenje programa kvalitete – znači stalne i povremene ocjene cijelog raspona revizijskih i konzultacijskih poslova koje obavlja interna revizija, te nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1. Takvo stalno i povremeno ocjenjivanje treba se sastojati od strogih i sveobuhvatnih postupaka, rutine, stalnog nadzora i ispitivanja radnog učinka revizije i savjetovanja, te povremenog potvrđivanja sukladnosti s Međunarodnim standardima za stručnu provedbu interne revizije (Standardi). Praćenje također mora uključivati stalno mjerenje i analize pokazatelja radnog učinka (npr. ispunjenje plana revizije, vrijeme ciklusa, prihvaćene preporuke i zadovoljstvo klijenta). Ako rezultati tih ocjena upućuju na mogućnost unaprjeđenja interne revizije, takva poboljšanja treba provesti glavni revizor kroz program osiguranja kvalitete i unaprjeđenja.
2. Definicija i vrijeme ocjenjivanja • Stalno interno ocjenjivanje (fraza „interno ocjenjivanje“ je sinonim za fraze
„interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad) treba biti cjelovit dio svakodnevnog nadzora, kontrole i mjerenja interne revizije, kao što je propisano u preporuci za rad 1311-1, stavcima 2. i 3.
• Povremeno interno ocjenjivanje treba dovršiti u skladu s propisanim u preporuci za rad 1311-1, stavcima 4. i 5.
• Povremeno vanjsko ocjenjivanje djelatnosti interne revizije, koje provodi pojedinac ili skupina s visokim stupnjem stručnosti i iskustva iz struke interne revizije, treba biti provedeno u skladu s Preporukama za rad 1312-1 i 1312-2 (novo).
125
Preporuke za rad
• Zahtjev kojim interna revizija mora provoditi stalno i povremeno interno ocjenjivanje stupio je na snagu 1. siječnja 2002. godine. Osim toga, zahtijeva se barem jedno vanjsko ocjenjivanje u roku od pet godina od tog datuma i barem jednom svakih sljedećih pet godina. Moguće je odricanje od zahtjeva za povremenim internim ocjenjivanjem u godini u kojoj se obavlja vanjsko ocjenjivanje.
3. Ocjenjivanje programa kvalitete – u ocjenjivanju treba procijeniti i donijeti zaključak o kvaliteti interne revizije i dati preporuke za odgovarajuća poboljšanja. Ocjenjivanje programa kvalitete treba obuhvatiti procjenu:• sukladnosti sa Standardima i Etičkim kodeksom, uključujući pravovremene
korektivne radnje za ispravljanje bilo kakvih značajnih neusklađenosti• adekvatnost povelje o internoj reviziji, ciljeva, politika i postupaka • doprinos upravljanju organizacijom, upravljanju rizikom i postupcima kontrole• sukladnost s mjerodavnim zakonima, propisima i standardima države ili
djelatnosti • učinkovitost stalnih aktivnosti na unaprjeđenju i usvajanju najbolje prakse• dodaje li interna revizija vrijednost te unaprjeđuje li poslovanje organizacije.
4. Stalno unaprjeđivanje – svako ocjenjivanje kvalitete i nastojanja za unaprjeđenjem treba uključivati primjereno i pravovremeno prilagođavanje sredstava, tehnologije, procesa i postupaka, kao što je navedeno u aktivnostima praćenja i ocjenjivanja.
5. Priopćavanje rezultata – kako bi se osigurala odgovornost i transparentnost, glavni revizor treba priopćiti rezultate vanjskog i, prema potrebi, internog ocjenjivanja različitim zainteresiranim stranama u djelatnosti, kao što su viši menadžment, odbor i vanjski revizori.
126
Okvir profesionalnog djelovanja
Preporuka za rad 1311-1:Interno ocjenjivanje
Tumačenje Standarda 1311 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1311 – Interno ocjenjivanje Interno ocjenjivanje treba obuhvatiti: • stalne kontrole radnog učinka interne revizije• povremene kontrole koje se provode putem samoprocjenjivanja ili drugih osoba unutar organizacije koje su upoznate s postupcima interne revizije i sa Standardima.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom provođenja internog ocjenjivanja unutar djelatnosti interne revizije. Ove smjernice ne predstavljaju sve postupke potrebne za cjelovito interno ocjenjivanje, nego preporučuju skup kvalitetnih postupaka za ocjenjivanje.
1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Kako bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja mora uključivati stalne i povremene interne ocjene (fraza „interno ocjenjivanje“ je sinonim za fraze „interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad). Takvo stalno i povremeno ocjenjivanje mora obuhvatiti cijeli raspon revizijskih i konzultacijskih poslova koje obavlja interna revizija i nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1.
2. Stalno interno ocjenjivanje – obično je integrirano u rutinsku politiku i praksu koje se koriste za vođenje interne revizije i treba je provoditi kroz takve procese koristeći oruđe kao što je: • nadzor angažmana kako je opisano u preporuci za rad 2340-1, Nadzor
angažmana • kontrolne liste i ostala sredstva koja potvrđuju da se poštuju postupci koje je
usvojila interna revizija (npr. U priručniku o reviziji i postupanju) • povratne informacije od korisnika revizije i ostalih zainteresiranih strana
127
Preporuke za rad
• proračuni za projekte, sustavi za kontrolu radnog vremena, dovršetak plana revizije, povrat troškova
• analize ostalih pokazatelja učinkovitosti (uspješnosti) (kao što su vrijeme ciklusa i prihvaćene preporuke).
3. Zaključci se trebaju sastaviti u odnosu na kvalitetu trenutačnog poslovnog učinka, a treba poduzeti radnje kako bi se osigurala provedba odgovarajućih poboljšanja.
4. Povremeno interno ocjenjivanje – obično predstavlja kontrole koje nisu rutinske te ispitivanje sukladnosti. Ono treba biti osmišljeno tako da se ocjenjuje (a) sukladnost s poveljom o internoj reviziji, Standardima i Etičkim kodeksom, i (b) učinkovitost i djelotvornost djelatnosti u ispunjavanju potreba različitih zainteresiranih strana. Priručnik za ocjenu kvalitete IAA, ili skup usporedivih smjernica i alata, treba se koristiti kao osnova za povremeno interno ocjenjivanje.
5. Povremena ocjenjivanja mogu: • uključivati više temeljitih razgovora i anketiranje skupina zainteresiranih strana• provoditi članovi interne revizije (samoprocjenjivanje)• provoditi ovlašteni interni revizori ili drugi kompetentni stručnjaci za reviziju koji su
u tom trenutku raspoređeni na drugo mjesto u organizaciji• sastojati se od kombinacije samoprocjenjivanja i pripreme materijala koje naknadno
kontroliraju ovlašteni interni revizori ili drugi kompetentni stručnjaci za reviziju• uključivati uspoređivanje postupaka i pokazatelja učinka (uspješnosti) interne
revizije s vrijedećom najboljom praksom struke interne revizije.
6. Povremeno kratko interno ocjenjivanje prije vanjskog ocjenjivanja može olakšati i smanjiti trošak vanjskog ocjenjivanja. Ako se vanjsko ocjenjivanje provodi u obliku „samoprocjenjivanja s neovisnim vrednovanjem“ (nova preporuka za rad 1312-2), povremeno interno ocjenjivanje može poslužiti kao samoprocjenjivanje u sklopu tog postupka.
7. Zaključci moraju biti doneseni s obzirom na kvalitetu učinka i primjerene radnje koje su poduzete u svrhu unaprjeđenja i poštivanja Standarda, ako je to potrebno.
8. Glavni revizor treba odrediti strukturu za izvještavanje o rezultatima povremenih kontrola koja zadržava primjerenu vjerodostojnost i objektivnost. U načelu, osobe kojima je dodijeljena odgovornost za stalne i povremene kontrole trebaju podnositi izvještaj glavnom revizoru za vrijeme provođenja kontrole i rezultate trebaju priopćavati izravno glavnom revizoru.
9. Priopćavanje rezultata – glavni revizor mora priopćiti rezultate internog ocjenjivanja, potrebnih akcijskih planova i njihove uspješne provedbe odgovarajućim osobama izvan djelatnosti, kao što je viši menadžment, odbor i vanjski revizori.
128
Okvir profesionalnog djelovanja
Preporuka za rad 1311-2:Utvrđivanje pokazatelja
(kvantitativni pokazatelji i kvalitativne procjene) za podršku kontrolama
uspješnosti interne revizije
Ova Preporuka za rad odražava preporučene postupke za mjerenje radnog učinka interne revizije.
Povezani standard 1311 – Interno ocjenjivanje Interno ocjenjivanje treba obuhvatiti: • stalne kontrole uspješnosti interne revizije• povremene kontrole koje se provode putem samoprocjenjivanja ili drugih osoba unutar organizacije koje su upoznate s postupcima interne revizije i sa Standardima.
Povezana Preporuka za rad 1311-1 – Interno ocjenjivanje
Priroda ove preporuke za rad: ova Preporuka za rad nadovezuje se na Preporuku 1311-1 i daje smjernice za utvrđivanje pokazatelja za kontrolu učinka (uspješnosti) interne revizije. Ove smjernice nisu namijenjene za korištenje samo kao temelj za utvrđivanje pokazatelja uspješnosti, nego se preporučuju zajedno s Međunarodnim standardima za stručnu provedbu interne revizije (Standardi) i ostalim uobičajenim postupcima mjerenja. Iako ova preporuka daje primjere određenih pokazatelja koje glavni revizori smatraju ključnima, ne postoji jedinstveni skup pokazatelja koji je učinkovit za sve revizijske aktivnosti. I kvantitativna metrika i kvalitativne procjene važne su za predstavljanje učinka interne revizije ključnim zainteresiranim stranama.
Uvod
Standard 1310 propisuje da interna revizija mora usvojiti postupak za praćenje i ocjenu cjelokupne učinkovitosti svojega programa kvalitete. Takav postupak mora uključivati i interno i vanjsko ocjenjivanje. Preporuka 1311-1 predlaže korištenje analize pokazatelja učinka kao elementa u provedbi takvih internih kontrola.
Osim poštivanja Standarda, pokazatelji učinka interne revizije mogu uključivati: stupanj doprinosa unaprjeđenju upravljanja rizikom te kontroli i korporativnom upravljanju, postizanje ključnih zadanih ciljeva, procjena napretka u odnosu na plan revizije, poboljšanje
129
Preporuke za rad
produktivnosti osoblja, povećana isplativost revizije, veći broj akcijskih planova za unaprjeđenje postupaka, adekvatno planiranje angažmana i nadzora, učinkovitost u ispunjavanju potreba zainteresiranih strana, dostatnost kontrola osiguranja kvalitete, itd.
Postupak za utvrđivanja izmjere učinka (uspješnosti)
U svrhu utvrđivanja učinkovitih pokazatelja uspješnosti, glavni revizor mora utvrditi postupak kojime se:
• utvrđuju ključne kategorije učinkovitosti (uspješnosti) (npr. zadovoljstvo interno zainteresiranih strana). Ova preporuka predlaže korištenje sljedećih kategorija: - zadovoljstvo zainteresiranih strana - procesi interne revizije - inovacija i sposobnost.
• Identificira strategije i pokazatelje kategorije uspješnosti. Strategije treba provoditi na način koji je sukladan Standardima, ostalim odgovarajućim stručnim standardima, mjerodavnim zakonima i propisima, te da osiguraju zadovoljstva zainteresiranih strana. Korištenje pokazatelja učinkovitosti (uspješnosti) može biti element za interno ocjenjivanje interne revizije kako bi bio u skladu sa Standardima.
• Osigurava postupak za rutinsko praćenje, analizu i izvještavanje o pokazateljima uspješnosti.
Glavni revizor mora osigurati da pokazatelji koji se koriste odgovaraju veličini njihove djelatnosti te da su primjenjivi u toj industriji, zemlji, prema nacionalnim zakonima i propisima i poslovnom okruženju. Pokazatelji uspješnosti moraju biti posebno određeni za organizaciju, a glavnim revizorima ne preporuča se da se oslanjaju na općenite pokazatelje koji nisu značajni za određenu revizijsku aktivnost. Primjeri pokazatelja koje glavni revizor može smatrati važnima navedeni su u Dodatku A na kraju ovih Preporuka za rad.
Određivanje ključnih kategorija učinkovitosti (uspješnosti)
Kao što je ranije navedeno, glavni revizor mora odrediti ključne kategorije pokazatelja učinkovitosti (uspješnosti) kao što su zadovoljstvo kupca, revizijski postupci, te inovacije i sposobnosti interne revizije.
Zainteresirane strane mogu uključivati odbor za reviziju, izvršno rukovodstvo, vanjska državna tijela i regulatore, te vanjske revizore. Revizijski postupci mogu uključivati procjenu rizika, planiranje i revizijske metode. Inovacije i sposobnosti mogu uključivati učinkovito korištenje tehnologije , izobrazbu i znanje o gospodarskoj grani.
130
Okvir profesionalnog djelovanja
Identificiranje kategorija strategija i pokazatelja učinkovitosti (uspješnosti)
Standardi, ostali primjenjivi stručni standardi, zajednički i strateški planovi interne revizije, zakoni i propisi, te povelja o internoj reviziji i misiji predstavljaju učinkovitu osnovu za određivanje primjerenih strategija za svaku kategoriju uspješnosti. Kategorije i pokazatelji učinkovitosti (uspješnosti) temelje se na ovoj osnovi i analizi zadovoljstva zainteresiranih strana.
Slika 1. daje slikovni prikaz s primjerima kategorija uspješnosti:
Unutarnje i vanjske zainteresirane strane
Tipično, ključne zainteresirane strane (klijenti) interne revizije dijele se na unutarnje i vanjske zainteresirane strane:
• unutarnje zainteresirane strane mogu uključivati: upravni odbor/odbor za reviziju, viši i niži menadžment
• vanjske zainteresirane strane mogu uključivati: regulatore i vanjsku reviziju.
Glavni revizor mora odrediti sve relevantne zainteresirane strane te proizvode i usluge koji su važni ili koji bi trebali biti važni svakoj zainteresiranoj strani. Glavni revizor treba ocijeniti trenutačnu razinu njihova zadovoljstva (i odgovarajućih prioriteta) i bilo kakve
Unutarnji klijenti
- Upravni odbor/odbor za reviziju
- Viši menadžment- Niži menadžment
Okvir profesionalnog djelovanja Korporacijske i strategije interne revizije Zakoni i propisi
Vanjski klijenti
- Regulatori - Vanjska revizija - Zajednica - Klijent poduzeća
Inovacije i sposobnosti
- Izobrazba - Tehnologija - Znanje o djelatnosti
Postupci interne revizije
- Planiranje procjene rizika/revizije
- Planiranje i provedba revizijskog angažmana
- Izvještavanje
131
Preporuke za rad
utvrđene praznine. Ocjenjivanje se može provesti putem intervjua, vođenih sastanaka i/ili upitnika. Nakon što se utvrde praznine, glavni revizor se potiče da izradi primjeren akcijski plan. Može biti potrebno uskladiti i potvrditi zadovoljstvo klijenta.
Aspekti određivanja relevantnih zainteresiranih strana i njihova zadovoljstva uključuju: • opseg regulacije za organizaciju ili internu reviziju • odnos s ključnim unutarnjim i vanjskim zainteresiranim stranama • prirodu organizacije (u javnom ili privatnom vlasništvu, na primjer).
Postupci interne revizije
Norme rada IIA-e moraju biti uzete u obzir prilikom određivanja kategorija pokazatelja uspješnosti postupaka interne revizije. Nadalje, u obzir treba uzeti očekivane rezultate temeljem povelje o internoj reviziji. Povratne informacije i mjerni mehanizmi mogu se prilagoditi za prikupljanje informacija koje se odnose na angažmane savjetovanja za rukovodstvo (koje nužno ne moraju slijediti iste ‘postupke’ kao revizija) i za usluge istraživanja prijevara, ako su iste uključene u povelju odjela za internu reviziju. Primjeri postupaka interne revizije i moguća područja za mjerenje u svakoj kategoriji su sljedeća:
a. Procjena rizika/planiranje revizije
• Jesu li povratne informacije dobivene od ključnih zainteresiranih strana (odbora za reviziju, višeg menadžmenta i vanjskog revizora) o tome je li revizija učinkovito riješila zabrinutost u pogledu rizika?
• Ocjenjuje li revizija opseg u kojem se rješavaju ključna područja rizika?
b. Planiranje i provedba revizijskog angažmana
• Jesu li utvrđeni primjereni planovi za reviziju za svaki angažman koji uključuje opseg, ciljeve, rokove i dodjelu sredstava?
• Jesu li revizije provedene u skladu s utvrđenim revizijskim metodama i radnim postupcima?
c. Priopćavanje i izvještavanje
• Jesu li dobivene povratne informacije od ključnih zainteresiranih strana u pogledu kvalitete, stupnja detaljnosti i učestalosti priopćenja revizije?
• Mjeri li interna revizija stupanj provedbe ključnih preporuka?
132
Okvir profesionalnog djelovanja
Inovacije i sposobnosti
Opći standardi i standardi izvođenja iz Standarda IIA trebaju biti uzeti u obzir prilikom određivanja kategorija pokazatelja uspješnosti u pogledu inovativnosti i sposobnosti aktivnosti interne revizije. Primjeri kategorija inovativnosti i sposobnosti te moguća područja za mjerenje u svakoj od kategorija su:
a. Stručno usavršavanje i osposobljavanje
• Jesu li određeni pokazatelji za osiguranje dostatne izobrazbe revizijskog osoblja (sati izobrazbe po zaposleniku, dovršetak ključnih predmeta, itd.)?
• Mjeri li se zadovoljstvo osoblja pruženom izobrazbom? • Prati li se broj certifikata izdanih zaposlenicima?
b. Korištenje tehnologije
• Jesu li utvrđeni ciljevi za stručno usavršavanje i osposobljavanje u pogledu korištenja tehnologije? Jesu li određeni pokazatelji za osiguranje ispunjenja tih ciljeva?
• Jesu li utvrđeni ciljevi za korištenje tehnologije za učinkovitu podršku revizijskom ispitivanju i analizi? Jesu li određeni pokazatelji za osiguranje ispunjenja tih ciljeva?
c. Znanje o djelatnosti
Jesu li određeni pokazatelji za osiguranje da osoblje posjeduje dovoljno znanja o djelatnosti, poslu, poslovanju i ključnim funkcijama (na primjer, mjerenje dovršetka orijentacijskih sastanaka, revizijski projekti u ključnim područjima, poslovne aktivnosti)?
Učinkovito mjerenje uspješnosti i postupak izvještavanja
Glavni revizor mora odrediti postupak mjerenja koji potiče ponašanje koje podržava utvrđene ciljeve revizije i koje osigurava primjerenu ocjenu postignuća tih ciljeva. Učinkovit stalan postupak uključuje:
• Pokazatelje uspješnosti koji su usklađeni sa Standardima, ključne strateške ciljeve, te mjerodavne zakone i propise. Takvi pokazatelji mogu biti kvalitativni i kvantitativni. Mjerne točke moraju biti jasni, mjerljivi, ostvarivi, realni ciljevi i/ili standardi.
• Dosljedni postupci prikupljanja, sažimanja i analiziranja mjernih podataka i osiguranje pravovremenih povratnih informacija.
• Postupci za osiguranje da su pokazatelji ažurni i u skladu s promjenjivim očekivanjima, uvjetima, prioritetima i ciljevima.
• Izvještavanje o rezultatima postupaka mjerenja rukovodstvu odjela i ključnim zainteresiranim stranama.
• Godišnje izvještavanje o učinkovitosti interne revizije odboru za reviziju.
133
Preporuke za rad
Slika 2 daje vizualni prikaz načina na koji se može primjenjivati mjerenje uspješnosti. Ovaj primjer pokazuje mjerenje uspješnosti u kategoriji inovacija i sposobnosti, uključujući povezivanje sa strategijom poduzeća i strategijom revizije.
Strategija poduzeća Sposobnost utjecaja na ključne sustave financijskog izvještavanja i izvještavanja o rukovođenju kao i automatizaciju internih kontrola.
Strategija interne revizije Utjecaj na izvještavanje unutar ključnih sustava za revizijske
aplikacije koje podržavaju ključne procese koji se kontroliraju.
Kategorija uspješnosti: Inovacije i sposobnosti Strategija kategorije: zapošljavanje i izobrazba osoblja o sustavima
izvještavanja i sposobnostima revizije. Pokazatelji: - broj sati izobrazbe po revizoru o povezanim sustavima
- broj zaposlenika koji imaju iskustvo u reviziji sustava
Za dodatne smjernice, izvore i primjere, molimo pogledati popis povezanih IIA Standarda i Preporuka za rad i ostalih izvora koji su navedeni.
Povezane Preporuke za rad i ostali izvori
Preporuka za rad 2100-3: Uloga interne revizije u procesu upravljanja rizicimaPreporuka za rad 2140-4: Uloga interne revizije u organizacijama koje nemaju postupak upravljanja rizikom Preporuka za rad 1300-1: Program osiguranja kvalitete i unaprjeđenja Preporuka za rad 1310-1: Ocjene programa kvalitete Preporuka za rad 1311-1: Interno ocjenjivanje Preporuka za rad 1312-1: Vanjsko ocjenjivanje Preporuka za rad 1312-2: Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom Preporuka za rad 1320-1: Izvještavanje o programu kvalitete Preporuka za rad 1330-1: Upotreba fraze „Provedeno u skladu sa Standardima“
Dodatni izvori:
• Priručnik za ocjenu kvalitete koji je objavio Institut internih revizora
• Upravljanje rizikom u poduzećima – integrirani okvir Odbora sponzorskih organizacija (COSO) povjerenstva Treadway
134
Okvir profesionalnog djelovanja
• „20 pitanja o internoj reviziji koja trebaju postaviti direktori“, John Fraser i Hugh Lindsay. Ovaj je članak dostupan na internetskoj stranici IIA, a sponzorirala ga je Fondacija za istraživanje IIA, kanadski Institut ovlaštenih računovođa i Institut direktora korporacija
• Globalna revizorska informacijska mreža IIA (GAIN) koja omogućava organizacijama da usporede veličinu svojih odjela za internu reviziju, iskustvo, stručnost i ostale pokazatelje u odnosu na zajednički prosjek organizacije slične veličine i njihove grane
• Okvir za uravnoteženu tablicu postignuća za odjele interne revizije, Mark L. Frigo, dr. sc., ovlašteni javni računovođa – CPA, ovlašteni menadžerski računovođa – CMA. Knjigu je financirala je Fondacija za istraživanje IIA
Prikaz A izvađen je i prilagođen iz publikacije naslovljene Okvir za uravnoteženu tablicu postignuća za odjele interne revizije. Ovaj prikaz daje pregled pokazatelja uspješnosti koje važnima smatra određen broj glavnih revizora. Potrebno je odabrati određene pokazatelje uspješnosti koji će odgovarati jedinstvenim potrebama interne revizije.
Okvir profesionalnog
djelovanjaKorporacijske i strategije
interne revizijeZakoni i propisi
Upravni odbor/odbor za reviziju
- Anketa o zadovoljstvu odbora za reviziju
- Uloga interne revizije kako je vidi odbor za reviziju
- zabrinutost odbora za reviziju u pogledu rizika
Postupci interne revizije
- Važnost pitanja revizije - Dovršene vs. planirane
revizije - Broj važnijih nalaza
revizije - Iznos ušteda revizije - Razvoj tehnika za
osiguranje kvalitete - Broj ponovljenih nalaza - Broj dana od dovršetka
poslova na terenu do objave izvještaja
Inovacije i sposobnosti
- Iskustvo osoblja - Broj sati izobrazbe po
internom revizoru - Izvještavanje glavnog
revizora – funkcionalno - Postotak ovlaštenog
osoblja koje ima uvjerenje
Rukovodstvo i subjekti gdje je povedena revizija
- Rezultati ankete o zadovoljstvu subjekata gdje je povedena revizija
- Postotak provedenih preporuka revizije
- Broj zahtjeva rukovodstva - Očekivanja rukovodstva u
pogledu interne revizije - Broj pritužaba o reviziji
135
Preporuke za rad
Preporuka za rad 1312-1:Vanjsko ocjenjivanje
Tumačenje Standarda 1312 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 1312 – Vanjsko ocjenjivanje Vanjsko ocjenjivanje treba provoditi barem jednom svakih pet godina kvalificirani, neovisni ocjenjivač ili skupina ocjenjivača izvan organizacije. O mogućoj potrebi za učestalijim vanjskim ocjenjivanjem te kvalifikacijama i neovisnosti vanjskog ocjenjivača ili skupine ocjenjivača, uključujući bilo kakav moguć sukob interesa, moraju raspraviti glavni revizor i uprava. U takvim se razgovorima također u obzir moraju uzeti veličina, složenosti i djelatnost organizacije u odnosu na iskustvo ocjenjivača ili skupine ocjenjivača.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge kada planiraju i ugovaraju vanjsko ocjenjivanje svoje interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni za vanjsko ocjenjivanje, nego preporučuju skup aspekata više razine u pogledu vanjskog ocjenjivanja.
1. Pregled programa osiguranja kvalitete i unaprjeđenja – glavni revizor odgovoran je za uspostavu interne revizije čiji opseg poslova uključuje sve aktivnosti temeljem Međunarodnih standarda za stručnu provedbu interne revizije (Standardi) i definicije interne revizije Instituta internih revizora (IIA). Da bi se to osiguralo, Standard 1300 zahtijeva da glavni revizor uspostavi i održava program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja mora uključivati i stalne i povremene interne ocjene (fraza „interno ocjenjivanje“ je sinonim za fraze „interna kontrola“ i „samoprocjenjivanje“ koje se koriste u Preporukama za rad). Takvo stalno i povremeno ocjenjivanje mora obuhvatiti cijeli raspon revizijskih i konzultacijskih poslova koje obavlja interna revizija i nije ograničeno na ocjenjivanje njezina programa za osiguranje kvalitete i unaprjeđenje – vidi preporuku za rad 1300-1.
2. Opći aspekti – vanjsko ocjenjivanje interne revizije mora dati procjenu i mišljenje o tome poštuje li interna revizija Standarde i, prema potrebi, treba uključiti preporuke za poboljšanje. Takve kontrole mogu imati značajnu vrijednost za glavnog revizora i ostale članove interne revizije. Samo kvalificirane osobe (stavak 5. dolje) mogu obavljati takve kontrole.
136
Okvir profesionalnog djelovanja
3. Od 1. siječnja 2002. godine provođenje vanjskog ocjenjivanja zahtijeva se svakih pet godina. Snažno se preporučuje ranije usvajanje novog Standarda koji zahtijeva vanjsku kontrolu. Organizacije koje su imale vanjske kontrole prije tog datuma potiču se da sljedeću kontrolu provedu u roku od pet godina od posljednje.
4. Po završetku kontrole upravi mora biti poslano službeno priopćenje (kao što je definirano u pojmovniku Standarda) i višem menadžmentu.
5. Kvalifikacije vanjskih ocjenjivača – vanjski analitičari, uključujući one koji potvrđuju samoprocjenjivanje (nova preporuka za rad 1312-2), moraju biti neovisni u odnosu na organizaciju i internu reviziju. Skupina za kontrolu mora se sastojati od osoba koje su kompetentne za stručno provođenje interne revizije i vanjsko ocjenjivanje. Da bi bili uzeti u obzir kao kandidati za vanjske ocjenjivače, kvalificirane osobe mogu obuhvatiti kontrolore osiguranja kvalitete IIA, regulatorne ispitivače, konzultante, vanjske revizore, ostale stručne pružatelje usluga i interne revizore izvan organizacije čija je interna revizija objekt vanjske ocjene.
6. Neovisnost – osoba ili organizacija koja preuzme vanjsko ocjenjivanje, članovi skupine ocjenjivača i sve druge osobe koje sudjeluju u ocjenjivanju ne smiju imati obveze prema ili interese u organizaciji čija je interna revizija objekt vanjskog ocjenjivanja ili osoblju u takvoj organizaciji. Pojedini aspekti koji se odnose na neovisnost vanjskih ocjenjivača uključuju: • Pojedinci koji provode takva ocjenjivanja moraju biti neovisni u odnosu na
organizaciju čija je interna revizija objekt ocjenjivanja i ne smiju imati stvaran ili prividan sukob interesa. „Neovisan u odnosu na organizaciju“ znači da nije dio ili pod kontrolom organizacije kojoj pripada interna revizija. Prilikom odabira vanjskog ocjenjivača u obzir treba uzeti moguć stvaran ili navodni sukob interesa koji ocjenjivač može imati zbog sadašnjih ili prošlih odnosa s organizacijom ili njezinom internom revizijom.
• Osobe koje su u drugom odjelu predmetne organizacije ili u povezanoj organizaciji, iako ustrojstveno odvojene od interne revizije, ne smatraju se neovisnima za potrebe provođenja vanjskog ocjenjivanja. „Povezana organizacija“ može biti matično društvo, podružnica u istoj skupini subjekata, ili subjekt koji ima redovitu nadležnost za nadzor, nadgledanje ili osiguranje kvalitete u odnosu na organizaciju čija je interna revizija objekt vanjskog ocjenjivanja.
• Uzajamne stručne revizije između tri ili više organizacija (npr. unutar neke djelatnosti li druge srodne skupine, ili druge skupine organizacija) mogu biti strukturirane na način koji smanjuje zabrinutost u pogledu neovisnosti, ali mora se voditi briga da ne dođe do problema neovisnosti. Uzajamne stručne revizije između dvije organizacije ne mogu proći test neovisnosti.
• Kako bi se riješile brige u pogledu prividnog ili stvarnog narušavanja neovisnosti u slučajevima o kojima se govori u ovom stavku, jedna ili više neovisnih osoba mogu biti dio vanjskog ocjenjivačkog tima, ili mogu biti angažirani za naknadno sudjelovanje kako bi neovisno potvrdili posao vanjske ocjenjivačke skupine.
137
Preporuke za rad
7. Integritet i objektivnost – integritet zahtijeva od ocjenjivačke skupine da bude poštena i otvorena unutar ograničenja povjerljivosti. Služba i javno povjerenje ne smiju biti podređeni osobnom probitku i koristi. Objektivnost je svjetonazor i kvaliteta koja daje vrijednost uslugama skupine za ocjenjivanje. Načelo objektivnosti nameće obvezu nepristranosti, poštenja i bez sukoba interesa.
8. Kompetencija – obavljanje vanjskog ocjenjivanja i priopćavanje rezultata zahtijevaju stručno mišljenje. U skladu s tim, osoba koja radi kao vanjski ocjenjivač mora: • biti kompetentna kao ovlašten stručnjak za reviziju (npr. ovlašteni interni revizor,
ovlašteni javni računovođa, ovlašteni revizor, ovlašteni revizor informacijskih sustava) koji posjeduje aktualno i temeljito znanje o Standardima
• mora biti dobro upoznata s najboljom praksom struke• mora imati barem tri godine aktualnog iskustva u struci interne revizije na
rukovodećoj razini• Voditelji skupine za vanjsko ocjenjivanje i neovisni ocjenjivači (nova preporuka
za rad 1312-2) moraju posjedovati dodatnu razinu stručnosti i iskustva, poput onoga koje se stječe od prethodna rada u skupini za vanjsko vrednovanje kvalitete, uspješan dovršetak tečaja IIA o ocjenjivanju kvalitete ili sličnog tečaja, te iskustvo glavnog revizora ili slično iskustvo u višem menadžmentu interne revizije.
9. Ocjenjivačka skupina mora uključiti članove koji posjeduju stručno znanje o informacijskoj tehnologiji i relevantno iskustvo u djelatnosti. Osobe koje posjeduju stručno znanje u drugim specijaliziranim područjima mogu pružati pomoć ocjenjivačkoj skupini. Na primjer, specijalisti za upravljanje rizikom u poduzećima, statističko uzorkovanje, ili kontrola samoprocjenjivanja mogu sudjelovati u određenim segmentima kontrole.
10. Odobrenje rukovodstva i uprave – glavni revizor mora uključiti viši menadžment i odbor u postupak odabira vanjskog kontrolora i dobiti njihovo odobrenje.
11. Opseg vanjskog ocjenjivanja – vanjsko ocjenjivanje treba obuhvatiti širok raspon koji uključuje sljedeće elemente interne revizije: • poštivanje Standarda, Etičkog kodeksa IIA-e i povelje o internoj reviziji, planove,
politike, postupke, praksu i mjerodavne zakonske i regulatorne zahtjeve • očekivanja uprave, izvršnog i nižeg menadžmenta od interne revizije• integriranje interne revizije u upravljačke procese u organizaciji, uključujući
prateće odnose između i među ključnim skupinama koje sudjeluju u tom procesu
• alate i tehnike koje koristi interna revizija• mješavinu znanja, iskustva i disciplina među osobljem, uključujući fokus osoblja
na unaprjeđenje postupka• odluku o tome dodaje li ili ne revizija vrijednost i unaprjeđuje li poslovanje
organizacije.
138
Okvir profesionalnog djelovanja
12. Priopćavanje rezultata – treba rezultate kontrole raspraviti s glavnim revizorom tijekom i na kraju postupka ocjenjivanja. Konačni rezultati moraju se priopćiti glavnom revizoru ili drugom dužnosniku koji je ovlastio kontrolu u ime organizacije, po mogućnosti kopija treba biti poslana odgovarajućim članovima višeg menadžmenta i odbora.
13. Priopćenje treba sadržavati sljedeće:
• Mišljenje o poštivanju Standarda od strane interne revizije na osnovu strukturirana postupka ocjenjivanja. Pojam „poštivanje“ znači da postupanje interne revizije u cjelini ispunjava zahtjeve Standarda. Slično tome, „nepoštivanje“ znači da su utjecaj i ozbiljnost nedostataka u postupcima interne revizije toliko značajni da narušavaju sposobnost interne revizije da obavlja svoje odgovornosti. Stupanj „djelomičnog poštivanja“ pojedinih Standarda, ako je važno za cjelokupno mišljenje, treba također navesti u izvještaju o neovisnoj ocjeni. Formulacija mišljenja o rezultatima vanjskog ocjenjivanja zahtijeva primjenu ispravnog poslovnog suda, integriteta i dužne stručne pozornosti.
• Ocjena i vrednovanje korištenja najbolje prakse, kako onih koje su uočene tijekom ocjenjivanja, tako i drugih koje su potencijalno primjenjive na djelatnost.
• Preporuke za unaprjeđenje, prema potrebi.• Odgovori glavnog revizora koji uključuju akcijski plan i rokove provedbe.
14. Glavni revizor mora priopćiti rezultate kontrole odgovarajućim članovima višeg menadžmenta i odboru, ako već nisu izravno preuzeti, kao i detalje o planiranim korektivnim radnjama za važna pitanja i naknadne informacije o ostvarenju tih planiranih radnji.
139
Preporuke za rad
Preporuka za rad 1312-2Vanjsko vrednovanje samoprocjene s nezavisnom ocjenom
Interpretacija Standarda 1312 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard 1312 – Vanjsko vrednovanjeBarem jednom u pet godina vanjsko vrednovanje treba provesti kvalificiran, neovisan ocjenjivač ili ocjenjivački tim izvan organizacije.
Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge pri planiranju i potpisivanju ugovora za vanjsko ocjenjivanje aktivnosti njihove interne revizije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom vanjske revizije, nego jednostavno skup preporučenih uvjeta koje treba uzeti u obzir prilikom vanjskog vrednovanja.
1. Osvrt na Program osiguranja kvalitete i unaprjeđenja - glavni revizor je odgovoran za uspostavljanje aktivnosti interne revizije čije područje djelovanja uključuje sve aktivnosti u Međunarodnim standardima za stručnu provedbu interne revizije (Standardima) i definiciji interne revizije Instituta internih revizora. Kako bi se ovo osiguralo, prema Standardu 1300, glavni revizor treba pripremiti i održavati Program osiguranja kvalitete i unaprjeđenja. Program osiguranja kvalitete i unaprjeđenja trebao bi uključiti periodičnu vanjsku ocjenu koja se provodi barem jednom u pet godina od strane kvalificiranog neovisnog revizora ili revizorskog tima. Ove vanjske ocjene trebaju pokriti cijeli spektar revizorskih i konzultantskih aktivnosti koje provodi interna revizija i ne bi trebale biti ograničene na ocjenjivanje svojeg Programa osiguranja kvalitete i unaprjeđenja – vidi Preporuku za rad 1300-1.
2. Samoprocjena s nezavisnim vrednovanjem – kao odgovor na pitanje može li vanjska procjena od strane nezavisnog pojedinca ili tima biti preopterećujuća za manje aktivnosti interne revizije, Institut internih revizora nudi alternativan proces „samoprocjene s nezavisnim (vanjskim) vrednovanjem“, koji ima sljedeće karakteristike:
• Sveobuhvatan i u potpunosti dokumentiran proces samoprocjene, koji bi trebao oponašati proces vanjske procjene, barem u odnosu na vrednovanje suglasja sa Standardima.
• Nezavisna izravna procjena od strane kvalificiranog revizora.• Ušteda vremena i resursa – na primjer, primarni fokus bio bi na suglasju sa
standardima. Pozornost ostalim područjima poput sustavnog vrednovanja, revizije i konzultacija oko primjene najboljih praksi te razgovora s višim i nižim
140
Okvir profesionalnog djelovanja
menadžmentom (čija mišljenja su već poznata glavnom revizoru i osoblju interne revizije) može se smanjiti ili čak izostaviti.
• U protivnom, isti zahtjevi i kriteriji navedeni u Preporukama za rad 1312-1 bi se primjenjivali na:
• Generalno promatranje• Kvalifikacije nezavisnog ocjenjivača (vanjskog revizora)• Nezavisnost, integritet i objektivnost, kompetencija, odobrenje rukovodstva
i uprave, područje primjene (osim za područja kao što su upotreba alata, tehnika, ostalih dobrih praksi, razvoj karijera i aktivnosti koje donose povećanje vrijednosti)
• Objavljivanje rezultata (uključujući mjere poboljšanja i njihovu provedbu).
3. Tim pod vodstvom glavnog revizora treba provoditi i u potpunosti dokumentirati proces samoprocjene. Priručnik za ocjenu kvalitete Instituta internih revizora sadrži kratki prikaz procesa uključujući smjernice i alate za samoprocjenu. Potrebno je pripremiti nacrt izvješća sličan procjeni vanjskog revizora.
4. Kvalificirani nezavisni revizor treba provesti ograničeno testiranje samoprocjene kako bi vrednovao rezultate i izrazio mišljenje o navedenoj razini do koje se moraju poštivati Standardi. Nezavisno vrednovanje treba izvršavati u skladu s procesom opisanim u Priručniku za ocjenu kvalitete Instituta internih revizora ili sličnim sveobuhvatnim procesom.
5. Nakon dovršetka nezavisne procjene, uključujući i strogu reviziju suglasja sa Standardima i Etičkim kodeksom koju provodi tim za samoprocjenu:
• nezavisni procjenitelj treba revidirati nacrt izvješća spomenut u Odlomku 3 i pokušati riješiti eventualna pitanja koja su ostala neriješena
• ukoliko u svojoj procjeni suglasnosti sa Standardima i Etičkim kodeksom, nezavisni procjenitelj doda tekst (u slučaju potrebe) izvješću, koji se podudara u procjeni, u adekvatnom opsegu, s tekstom nalaza izvješća, zaključcima i preporukama
• u slučaju nepodudarnosti s procjenom, nezavisni procjenitelj treba dodati tekst u kojem postoji nesuglasje u izvješće, te navesti dijelove u kojima postoji nesuglasje s izvješćem te, u adekvatnom opsegu s važnim nalazima, zaključcima i preporukama u izvješću
• umjesto toga, nezavisni procjenitelj može pripremiti posebno nezavisno izvješće, u kojem izlaže ili navodi neslaganje, kao dodatak izvješću o samoprocjeni
• završno (završna) izvješće (izvješća) o samoprocjeni s nezavisnim procjeniteljima tada treba potpisati tim za samoprocjenu i nezavisni procjenitelj i glavni revizor ga podnosi višem menadžmentu i odboru.
6. Dok potpuna revizija od strane vanjskog revizora donosi maksimalnu korist za aktivnost i treba biti uključena u program kvalitete revizije, samoprocjena s
141
Preporuke za rad
nezavisnom procjenom nudi alternativno sredstvo kojim se postiže potpuno suglasje sa Standardom 1312. Međutim, u onoj mjeri u kojoj je to moguće, kako bi se postigla najveća moguća kvaliteta i koristi poboljšanja procesa, interna revizija treba razmotriti samoprocjenu s nezavisnom procjenom kao privremenu mjeru i težiti tome da dobije cjelovitu vanjsku procjenu tijekom narednog perioda.
142
Okvir profesionalnog djelovanja
Preporuka za rad 1320-1:Izvještavanje o programu kvalitete
Interpretacija Standarda 1320 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard 1320 – Izvještavanje o programu kvaliteteGlavni revizor treba priopćiti rezultate vanjske procjene upravi.
Priroda ove preporuke za rad: interni revizori trebaju u obzir uzeti sljedeće prijedloge prilikom izvještavanja o programu kvalitete. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom izvještavanja, nego jednostavno skup preporučenih uvjeta koje treba uzeti u obzir.
1. Po dovršetku vanjske ocjene, radna skupina za reviziju treba pripremiti formalno izvješće koje sadrži mišljenje o suglasju aktivnosti interne revizije s Međunarodnim standardima za stručnu provedbu interne revizije (Standardima)(vidi Preporuku za rad 1312-1). Izvješće se također treba osvrnuti na suglasje aktivnosti interne revizije s poveljom i drugim primjenjivim standardima i uključivati prikladne preporuke za poboljšanje. Izvješće treba biti naslovljeno na osobu ili organizaciju koja zahtijeva ocjenu. Glavni revizor treba pripremiti pisani plan akcije kao odgovor na važne komentare i preporuke sadržane u izvješću vanjskog ocjenjivača.
Priprema odgovarajućeg izvješća o praćenju, tj. nastavka izvješća također je odgovornost glavnog revizora.
2. Ocjena suglasja sa Standardima ključna je komponenta vanjske ocjene. Revizorski tim treba se rukovoditi Standardima u procjeni i davanju mišljenja o suglasnosti aktivnosti interne revizije sa Standardima. Međutim, kako je navedeno u Preporukama za rad 1310-1, postoje i dodatni kriteriji koje treba uzeti u obzir pri vrednovanju provedbe aktivnosti interne revizije.
143
Preporuke za rad
Preporuka za rad 1330-1:Upotreba fraze „Provedeno u skladu sa Standardima“
Interpretacija Standarda 1330 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 1330 – Upotreba fraze „Provedeno u skladu sa Standardima“Interni revizori potiču se da u izvještajima navedu da su njihove radnje „provedene u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“. Međutim, interni revizori ovu izjavu smiju koristiti samo ako ocjene programa unaprjeđenja kvalitete pokažu da se aktivnosti interne revizija vrše u skladu sa Standardima.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge pri upotrebi fraze „Provedeno u skladu s Međunarodnim standardima za stručnu provedbu interne revizije“. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, već se koriste kao dopuna Standardima.
1. Opća razmatranja – vanjska i interna procjena aktivnosti interne revizije treba se provoditi radi ocjene i izražavanja mišljenja o suglasju aktivnosti interne revizije s Međunarodnim standardima za stručnu provedbu interne revizije (Standardima) i s Etičkim kodeksom, a u adekvatnom opsegu trebaju sadržavati i preporuke za poboljšanje.
2. Potrebna je vanjska procjena u roku od pet godina od 1.1.2002. godine. Preporuča se ranije donošenje novog standarda koji zahtijeva vanjsku ocjenu. Organizacije u kojima se vršila vanjska revizija potiču se da provedu sljedeću vanjsku reviziju u roku od pet godina od zadnje revizije.
3. Upotreba fraze o suglasju – Može se koristiti fraza „u suglasju sa Standardima“ ili „udovoljavajući Standardima“, ili „u skladu sa Standardima“. Upotreba fraze o suglasju zahtijeva vanjsku ocjenu barem jednom tijekom svakog petogodišnjeg razdoblja zajedno s povremenim internim ocjenama kojima je zaključeno da je aktivnost interne revizije obavljena u skladu sa Standardima i Etičkim kodeksom. Nije prikladno upotrebljavati frazu o suglasju prije nego što vanjska revizija obavljena u posljednjih pet godina ne pokaže da je aktivnost interne revizije usklađena sa Standardima i Etičkim kodeksom. O primjerima nesuglasja (neusklađenosti) koje utječu na cjelokupan opseg djelovanja interne revizije, te u slučaju da se do 1.1. 2007. godine ne dobije vanjska procjena, potrebno je obavijestiti viši menadžment i odbor.
144
Okvir profesionalnog djelovanja
4. Prije nego što interna revizija upotrijebi frazu o usklađenosti, svaki primjer nesuglasja koji je naveden u ocjeni kvalitete (interne ili vanjske) koji umanjuje sposobnosti interne revizije da izvrši svoje dužnosti:• treba biti ispravljen na adekvatan način• mjere za poboljšanje potrebno je dokumentirati i prijaviti nadležnom ocjenitelju
(ocjeniteljima) kako bi se ustanovilo da je primjer neusklađenosti adekvatno ispravljen i
• o mjerama za poboljšanje i slaganju relevantnog procjenitelja s istim treba izvijestiti viši menadžment i odbor.
145
Preporuke za rad
Preporuka za rad 2000-1Upravljanje aktivnostima interne revizije
Interpretacija Standarda 2000 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2000 – Upravljanje aktivnostima Interne revizijeGlavni revizor treba učinkovito upravljati aktivnostima interne revizije i osigurati da aktivnost interne revizije donosi povećanje vrijednosti organizacije.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene organizacijske neovisnosti. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Glavni revizor odgovoran je za odgovarajuće upravljanje aktivnostima interne revizije na način da:• aktivnost revizije ispunjava glavne svrhe i odgovornosti opisane u povelji koju
odobrava odbor i, ako je potrebno, viši menadžment• resursi interne revizije se raspoređuju na način koji omogućava učinkovitost i
djelotvornost• aktivnosti revizije usklađene su s Međunarodnim standardima za stručnu
provedbu interne revizije (Standardima).
146
Okvir profesionalnog djelovanja
Preporuka za rad 2010-1Planiranje
Interpretacija Standarda 2010 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2010 – PlaniranjeGlavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koji su dosljedni ciljevima organizacije.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom planiranja aktivnosti interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom planiranja, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Planiranje aktivnosti interne revizije treba biti usklađeno s poveljom interne revizije i ciljevima organizacije. Proces planiranja uključuje uspostavu:• ciljeva• rasporeda aktivnosti • planiranja osoblja i proračuna• izvješća o aktivnostima.
2. Ciljeve interne revizije potrebno je ispuniti u okviru zadanih poslovnih planova i planiranog proračuna i trebaju biti mjerljive do adekvatne razine. Njih je potrebno dopuniti kriterijima mjerenja i ciljanim datumima izvršenja.
3. Raspored aktivnosti treba uključiti: • aktivnosti koje treba izvršiti• vrijeme u kojem će te aktivnosti biti izvršene• planirano trajanje izvršenja aktivnosti, uzimajući u obzir opseg planiranih
aktivnosti i prirodu i opseg aktivnosti koje obavljaju drugi.
4. Pitanja koja treba uzeti u obzir pri uspostavi rasporeda aktivnosti trebaju uključiti:• datume i rezultate zadnjeg zadatka• ažurirane ocjene rizika i učinkovitost upravljanja rizikom i kontrolnim
procesima• zahtjeve odbora i višeg menadžmenta• tekuća pitanja vezana uz upravljanje organizacijom• velike promjene u poslovanju organizacije, aktivnostima, programima, sustavima
i kontrolama
147
Preporuke za rad
• prilike za postizanje poslovne koristi i• promjene u osoblju revizije i njihovim sposobnostima. Raspored aktivnosti treba
biti fleksibilan u dovoljnoj mjeri kako bi pokrio potrebe za aktivnostima interne revizije.
148
Okvir profesionalnog djelovanja
Preporuka za rad 2010-2Povezivanje plana revizije s rizikom i izloženostima
Interpretacija Standarda 2010 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2010 – PlaniranjeGlavni revizor mora utvrditi planove na temelju rizika kako bi se odredili prioriteti interne revizije koji su dosljedni ciljevima organizacije.
Priroda ove preporuke za rad: Strategija rizika organizacije treba se odražavati u planu aktivnosti interne revizije. Treba primijeniti koordinirani pristup kako bi se povećali sinergijski učinci između upravljanja rizikom organizacije i procesa interne revizije. Bit će potrebni mogući dodatni uvjeti koje treba razmotriti, a koji nisu sadržani u ovoj Preporuci za rad.
1. Svaka organizacija susreće se s određenim brojem neizvjesnosti i rizika koji mogu negativno ili pozitivno utjecati na organizaciju. Moguće je upravljati rizikom na nekoliko različitih načina koji uključuju prihvaćanje, izbjegavanje, prijenos ili kontrolu. Interne kontrole su uobičajena metoda za smanjenje potencijalnog negativnog utjecaja rizika i neizvjesnosti.
2. Plan aktivnosti interne revizije potrebno je provoditi na temelju procjene rizika i izloženosti koje mogu utjecati na organizaciju. Naposljetku, ključni ciljevi revizije su pružiti rukovodstvu informacije za ublažavanje negativnih posljedica povezanih s ispunjenjem ciljeva organizacije, te ocjena učinkovitosti aktivnosti upravljanja rizikom. Stupanj ili važnost izloženosti može se promatrati kao rizik ublažen kroz uspostavu kontrolnih aktivnosti.
3. Revizija može uključivati komponente iz strateškog plana organizacije. Inkorporiranjem komponenti strateškog plana organizacije, revizija će razmatrati i odražavati cjelokupne poslovne ciljeve. Strateški planovi obično su dobar pokazatelj stava koji je organizacija zauzela u odnosu na rizike i stupanj težine u ispunjenju planiranih ciljeva. Na reviziju će obično utjecati i rezultati procesa upravljanja rizikom. Strateški plan organizacije treba pripremiti tako da se razmotri okolina u kojoj organizacija posluje. Isti ti čimbenici okoline bi vjerojatno utjecali na reviziju i ocjenu rizika.
4. Promjene u smjeru upravljanja, ciljevima, naglasku i fokusu trebaju se odražavati u ažuriranju aktivnosti revizije i plana revizije. Najmanje jednom godišnje preporuča
149
Preporuke za rad
se ocjena revizije koja bi odražavala najnovije strategije i smjer organizacije. U nekim situacijama planove revizije bit će potrebno često ažurirati (npr. na kvartalnoj osnovi) kao odgovor na promjene u okolini upravljanja organizacije.
5. Plan revizije treba se, između ostalog, temeljiti na ocjeni prioriteta i izloženosti rizicima. Određivanje prioriteta potrebno je pri donošenju odluka o primjeni resursa koji se temelje na važnosti rizika i izloženostima. Raznolikost modela rizika postoji kako bi pomogli glavnom revizoru pri određivanju prioriteta kod potencijalnih područja revizije. Većina modela rizika koristi se faktorima rizika u uspostavi prioriteta djelovanja kao što su financijski utjecaj, likvidnost imovine, upravljačke kompetencije, kvaliteta internih kontrola, stupanj promjene ili stabilnosti, vrijeme zadnje aktivnosti revizije, složenost, odnosi između zaposlenika i uprave itd. Pri obavljanju aktivnosti revizije, metode i tehnike za testiranje i vrednovanje izloženosti trebaju odražavati važnost rizika i vjerojatnost pojave rizika.
6. Izvješćivanje uprave i priopćavanje trebaju odražavati zaključke upravljanja rizikom te preporuke za smanjenje izloženosti. Da bi uprava u potpunosti razumjela stupanj izloženosti, ključno je identificirati važnost i posljedice koje izloženost rizicima može imati na postizanje ciljeva u revizorskom izvješću.
150
Okvir profesionalnog djelovanja
Preporuka za rad 2020-1Priopćavanje i odobrenje
Interpretacija Standarda 2020 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2020 – Priopćavanje i odobrenje Glavni revizor mora obavijestiti viši menadžment i odbor o planovima provedbe interne revizije i potrebama resursa, uključujući značajne privremene promjene, u svrhu kontrole i odobrenja. Zadaća glavnog revizora također je obavijestiti o utjecaju ograničenih resursa.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja i traženja odobrenja za planove i resurse interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Glavni revizor treba jednom godišnje podnijeti sažetak rasporeda poslova interne revizije, plan osoblja i financijski proračun na odobrenje odboru, te ako je potrebno višem menadžmentu. Glavni revizor također treba podnijeti sve važne privremene promjene na odobrenje i radi informiranja. Raspored poslova, plan osoblja i financijski proračun trebaju biti pokazatelj višem menadžmentu i odboru o opsegu posla interne revizije i o mogućim ograničenjima vezanim uz opseg revizije.
2. Odobreni raspored aktivnosti, plan osoblja i financijski proračun, kao i sve važne privremene promjene trebaju sadržavati dovoljnu količinu informacija da omoguće upravi da ustanovi odražavaju li ciljevi i planovi interne revizije ciljeve i planove organizacije i uprave organizacije.
151
Preporuke za rad
Preporuka za rad 2030-1Upravljanje resursima
Interpretacija Standarda 2030 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2030 – Upravljanje resursimaGlavni revizor mora osigurati primjerenost resursa za internu reviziju, dostatnost te učinkovito raspoređivanje u svrhu postizanja odobrenog plana.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom procjene resursa interne revizije. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Planove osoblja i proračuna, uključujući i broj revizora, te znanje, vještine i ostale kompetencije potrebne za obavljanje aktivnosti interne revizije potrebno je odrediti sa stajališta rasporeda aktivnosti, administrativnih aktivnosti, potreba za obrazovanjem i obukom, te potrebama istraživačkog rada i razvoja.
2. Glavni revizor treba uspostaviti program za odabir i razvoj ljudskih resursa interne revizije. Program treba osigurati sljedeće:
• pisani opis poslova za svaku razinu revizorskog osoblja• odabir pojedinaca koji su kvalificirani i kompetentni za revidirana područja i u
primjeni vještina interne revizije• mogućnost obuke i kontinuirane izobrazbe za svakog internog revizora• uspostavu godišnjih ciljeva za interne revizore• vrednovanje rezultata svakog internog revizora barem jednom godišnje• savjetovanje internih revizora pri provođenju njihove aktivnosti i profesionalnom
razvoju.
3. Glavni revizor trebao bi razmotriti djelomično eksternaliziranje aktivnosti, te angažiranje drugih konzultanata ili zaposlenika ostalih organizacijskih jedinica tvrtke koji bi primijenili specijalizirane ili dodatne vještine gdje je to potrebno.
152
Okvir profesionalnog djelovanja
Preporuka za rad 2040-1Politike i procedure
Interpretacija Standarda 2040 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2040 – Politike i procedureGlavni revizor mora utvrditi politike i postupke kao smjernice za provedbu interne revizije.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom definiranja politika i procedura. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve aktivnosti, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Sadržaj i forma pisanih politika i procedura trebaju biti odgovarajući veličini i strukturi aktivnosti interne revizije i složenosti posla interne revizije. Formalni administrativni i tehnički revizorski priručnici možda neće biti potrebni za sve sudionike interne revizije. Manjim aktivnostima interne revizije može se upravljati na neformalan način. Upravljanje i kontrola revizorskog osoblja angažiranog na takvom zadatku može se vršiti putem temeljitog dnevnog nadzora i pisanih memoranduma. Za velike revizorske poslove potrebne su formalnije i sveobuhvatnije politike i procedure koje su ključne u davanju smjernica revizorskom osoblju za dosljedno slijeđenje standarda za stručnu provedbu interne revizije.
153
Preporuke za rad
Preporuka za rad 2050-1Koordinacija
Interpretacija Standarda 2050 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2050 – KoordinacijaGlavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim internim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te da bi se na najmanju moguću razinu svelo ponavljanje.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom koordiniranja aktivnosti s ostalim pružateljima usluga provjere i savjetovanja. Ove smjernice ne predstavljaju sve uvjete koji mogu biti potrebni prilikom obavljanja takve procjene, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Posao interne i vanjske revizije treba biti koordiniran kako bi se osigurala adekvatna pokrivenost i broj ponavljanja sveo na najmanju moguću mjeru. Opseg interne revizije obuhvaća sustavan i discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizikom, kontroli rizika i procesu korporativnog upravljanja. Opseg interne revizije je opisan u Odjeljku 2100 Međunarodnih standarda za stručnu provedbu interne revizije (Standarda). U drugu ruku, uobičajeno ispitivanje vanjske revizije osmišljeno je kako bi se dobilo dovoljno dokaza koji bi potvrdili mišljenje o točnosti godišnjih financijskih izvještaja. Obujam rada vanjskih revizora određen je njihovim standardima struke i oni su odgovorni za prosudbu adekvatnosti provedenih postupaka i dokaza dobivenih u svrhu izražavanja mišljenja o godišnjim financijskim izvještajima.
2. Nadzor nad radom vanjskih revizora, uključujući i koordinaciju s internom revizijom je odgovornost uprave. Stvarna koordinacija trebala bi biti zadaća glavnog revizora. Glavni revizor će zahtijevati potporu uprave kako bi postigao učinkovitu koordinaciju revizije.
3. Pri koordiniranju aktivnosti internih revizora s aktivnostima vanjskih revizora glavni revizor trebao bi osigurati da aktivnosti koje interna revizija obavlja sukladno Odjeljku 2100 Standarda ne ponavljaju aktivnosti vanjskih revizora, na koje se može osloniti za potrebe opsega aktivnosti interne revizije. Do one mjere u kojoj to dozvoljavaju organizacijske i profesionalne odgovornosti, interni revizori trebali
154
Okvir profesionalnog djelovanja
bi izvršavati svoje zadaće na način koji omogućava maksimalnu koordinaciju i učinkovitost revizije.
4. Glavni revizor može pristati na obavljanje aktivnosti za potrebe vanjske revizije koje su povezane s njihovom godišnjom revizijom financijskih izvještaja. Aktivnosti koje provode interni revizori kao pomoć vanjskim revizorima u provođenju svojih odgovornosti podliježe svim relevantnim odredbama Standarda.
5. Glavni revizor treba provoditi redovno vrednovanje koordinacije između interne i vanjske revizije. Takvo vrednovanje može uključivati i ocjenu opće učinkovitosti i djelotvornosti funkcija interne i vanjske revizije, uključujući i ukupne troškove revizije.
6. U obavljanju svoje nadzorne funkcije, uprava može zatražiti od glavnog revizora da ocjeni aktivnost vanjskih revizora. Takva ocjena se obično radi u kontekstu uloge glavnog revizora u koordiniranju aktivnosti interne i vanjske revizije i trebala bi obuhvatiti i ostala pitanja samo na izričit zahtjev višeg menadžmenta ili odbora. Ocjena provedbe aktivnosti vanjskih revizora trebala bi se temeljiti na dovoljnoj količini informacija koja bi potvrdila zaključke revizije. Ocjena provedbe aktivnosti vanjskih revizora s obzirom na koordiniranje aktivnosti interne i vanjske revizije trebala bi odražavati kriterije opisane u ovoj Preporuci za rad.
7. Ocjena provedbe aktivnosti vanjske revizije koja obuhvaća pitanja van koordinacije s internim revizorima može uključivati dodatne čimbenike poput:• stručnih znanja i iskustva• znanja grane aktivnosti organizacije• neovisnosti• dostupnosti specijaliziranih usluga• anticipiranja i odgovora na potrebe organizacije• razmjerna kontinuiteta u osoblju angažiranom na ključnim aktivnostima• održavanja adekvatnih poslovnih odnosa• ispunjenja ugovornih obveza• podizanja opće vrijednosti organizacije.
8. Glavni revizor trebao bi priopćiti rezultate ocjene koordinacije između interne i vanjske revizije višem menadžmentu i odboru zajedno s komentarima o provedbi aktivnosti vanjske revizije u adekvatnoj mjeri.
9. Vanjski revizori prema standardima struke mogu biti obvezni osigurati da se upravu obavijesti o pojedinim pitanjima. Glavni revizor trebao bi komunicirati s vanjskim revizorima u vezi s tim pitanjima kako bi oni bili upoznati s njima. Ova pitanja mogu uključiti i sljedeće:
• pitanja koja mogu utjecati na neovisnost vanjskih revizora
155
Preporuke za rad
• značajne slabosti u kontroli• greške i nepravilnosti• nezakonitosti• prosudbe rukovodstva i računovodstvene procjene• značajne revizorske prilagodbe• neslaganja s rukovodstvom• poteškoće pri provođenju revizije.
10. Koordinacija aktivnosti revizije uključuje redovne sastanke na kojima bi se raspravljalo o pitanjima od obostranog interesa:• Pokrivenost revizije. O planiranim aktivnostima interne i vanjske revizije
trebalo bi se raspravljati kako bi se omogućila koordinacija pokrivenosti revizije i ponavljanje svelo na najmanju moguću mjeru. Potrebno je planirati dovoljan broj sastanaka tijekom procesa revizije kako bi se osigurala koordinacija revizije i učinkovito i pravovremeno dovršenje aktivnosti revizije i odredilo je li prema zapažanjima i preporukama iz aktivnosti provedenih do određenog datuma potrebna korekcija planiranih aktivnosti revizije.
• Pristup programima revizije i radnom materijalu. Pristup programu vanjskih revizora i radnim papirima može biti važan kako bi interni revizori bili zadovoljni prihvatljivošću oslanjanja na aktivnosti vanjske revizije za potrebe aktivnosti interne revizije. Takav pristup uključuje odgovornost internih revizora da poštuju povjerljivost ovih programa i radnih papira. Slično, treba omogućiti vanjskoj reviziji pristup programima i dokumentima interne revizije kako bi vanjski revizori bili zadovoljni činjenicom da se oslanjaju na rad interne revizije za potrebe vanjske revizije.
• Razmjena revizorskih izvješća i pisama uprave. Završno izvješćivanje interne revizije, odgovor rukovodstva na ta izvješća i daljnja izvješća interne revizije o aktivnostima praćenja trebaju biti dostupni vanjskim revizorima. Ova izvješća pomažu vanjskim revizorima u određivanju i prilagodbi opsega posla. Nadalje, interni revizori trebaju pristup pismima vanjske revizije upravi. Pitanja o kojima se raspravlja u pismima upravi pomažu internim revizorima u planiranju područja na koja treba staviti naglasak u idućoj aktivnosti interne revizije. Nakon pregleda pisama upravi i poduzimanja mogućih potrebnih korektivnih mjera od strane rukovodstva i članova uprave odgovornih za reviziju, glavni revizor trebao bi osigurati da su provedene odgovarajuće aktivnosti praćenja i korektivne mjere.
• Obostrano razumijevanje revizorskih tehnika, metoda i terminologije. Ponajprije, glavni revizor trebao bi poznavati planirani opseg vanjske revizije i trebao bi ustanoviti da je planirana aktivnost vanjske revizije s planiranom aktivnosti interne revizije usklađena sa zahtjevima navedenim u Odjeljku 2100 Standarda. Da bi se to postiglo, potrebno je razumijevanje razine važnosti koju vanjski revizori koriste u planiranju te prirode i opsega planiranih postupaka vanjske revizije.
Kao drugo, glavni revizor treba osigurati da vanjski revizori imaju potrebno razumijevanje tehnika, metoda i terminologije koje koriste interni revizori kako
156
Okvir profesionalnog djelovanja
bi omogućilo glavnom revizoru da: (1) koordinira aktivnosti interne i vanjske revizije; (2) procjeni, za potrebe suradnje, aktivnost vanjske revizije i (3) omogući da interni revizori koji provode pojedine aktivnosti radi ispunjavanja ciljeva vanjske revizije mogu učinkovito komunicirati s vanjskim revizorima.
Naposljetku, glavni revizor trebao bi pružiti dovoljnu količinu informacija kako bi omogućio vanjskim revizorima razumijevanje tehnika, metoda i terminologije koje koristi interna revizija i olakšao vanjskoj reviziji pri oslanjanju na aktivnosti koje se provode upotrebom takvih tehnika, metoda i terminologije. Bilo bi mnogo učinkovitije kad bi interna i vanjska revizija koristile slične tehnike, metode i terminologiju kako bi se učinkovito koordiniralo aktivnostima interne revizije i omogućilo oslanjanje interne revizije na vanjsku i obratno.
157
Preporuke za rad
Preporuka za rad 2050-2Akvizicija usluga vanjske revizije
Interpretacija Standarda 2050 iz Međunarodnih standardaza stručnu provedbu interne revizije
Povezani standard 2050 – KoordinacijaGlavni revizor mora objaviti informacije i koordinirati aktivnosti s ostalim internim i vanjskim pružateljima relevantnih usluga provjere i savjetovanja kako bi osigurao primjerenu pokrivenost te kako bi se na najmanju moguću razinu svelo ponavljanje.
Priroda ove preporuke za rad: Glavni revizori trebaju razmotriti ove smjernice kad su zamoljeni ili kad im je dodijeljena dužnost akvizicije usluga vanjske revizije. Ove smjernice također mogu poslužiti i odboru za reviziju i financijskom rukovodstvu ako im je povjerena dužnost akvizicije usluga vanjske revizije. Ove smjernice sadržane u Preporuci za rad ne predstavljaju sve uvjete koji mogu biti potrebni prilikom svake situacije. Glavni revizori trebaju prilagoditi i korigirati ove smjernice u skladu s potrebama radi njihovog usklađenja s posebnim uvjetima. Ova Preporuka za rad je osobito prikladna za akviziciju usluga vanjske revizije financijskih izvještaja ali također može biti korisna u angažiranju usluga vanjske revizije za druge vrste zadataka. Vidi Preporuku za rad 2050-1, „Koordinacija“, za smjernice vezane uz „koordinaciju“ aktivnosti interne i vanjske revizije.
1. Sudjelovanje internog revizora u odabiru, vrednovanju ili zadržavanju vanjskih revizora neke organizacije mogu varirati od situacije da nemaju nikakvu ulogu u procesu, do uloge savjetovanja rukovodstva ili odbora za reviziju, pomoći ili sudjelovanja u procesu, vođenju procesa ili obavljanja revizije procesa. Pošto Međunarodni standardi za stručnu provedbu interne revizije (Standardi) zahtijevaju od internih revizora da „dijele informacije i koordiniraju aktivnosti s ostalim internim i eksternim pružateljima relevantnih usluga provjere i savjetovanja“, savjetuje se da interni revizori imaju neku ulogu u odabiru ili zadržavanju vanjskih revizora i u definiranju opsega posla.
2. Politika koju je odobrila uprava ili odbor za reviziju može omogućiti redovne zahtjeve za uslugama vanjske revizije i pozicionirati takve zahtjeve kao redovne poslovne aktivnosti tako da trenutni pružatelji usluga ne smatraju odluku da se zatraže ponude kao znak da je organizacija nezadovoljna sadašnjim uslugama. Ako navedena politika ne postoji, interni revizori trebaju odrediti podliježu li takve usluge nekoj
158
Okvir profesionalnog djelovanja
drugoj postojećoj politici nabave organizacije. U nedostatku adekvatnih politika, interni revizor treba razmotriti poticanje na izradu adekvatnih politika.
3. Prikladne politike za izbor i zadržavanje usluga vanjske revizije trebaju se razmotriti s naglaskom na sljedeće karakteristike:• odobrenje politike od strane uprave ili odbora za reviziju• priroda i tip usluga koju regulira politika• trajanje ugovora, učestalost formalnih zahtjeva za uslugom i/ili volja da se zadrži
trenutni pružatelj usluga• članovi ili sudionici tima za odabir i procjenu• bilo koji važni ili primarni kriteriji koje treba razmotriti u procjeni• ograničenja cijene usluge i procedure za odobrenje iznimki od politika• regulatorni ili ostali rukovodstveni zahtjevi jedinstveni za pojedine grane
djelatnosti i zemlje.
4. Politika uprave može također obuhvatiti akviziciju usluga koje se ne odnose na reviziju financijskih izvještaja koje nude tvrtke za vanjsku reviziju. One mogu uključivati sljedeće usluge:• porezne usluge• konzultantske usluge i ostale nerevizorske usluge• eksternalizacija aktivnosti interne revizije i/ili djelomična eksternalizacija
(partnerstvo)• specifične usluge kako što su dogovorene servisne usluge• vrednovanje, procjena i aktuarske usluge• privremene usluge kao što su pronalaženje novih kadrova, knjigovodstvo i
tehnološke usluge• pravne usluge koje pružaju tvrtke za vanjsku reviziju.
5. Potrebno je čuvati dokumentaciju vezanu uz periodičke, formalne odluke da se zadrži postojeći pružatelj usluga i da se njemu da prednost, tj. odgodi angažman drugih potencijalnih pružatelja usluga.
6. Potrebno je napraviti plan odabira koji će definirati sudionike komisije za izbor, ključne usluge i ciljane datume za svaku fazu procesa, kandidate od kojih će se zahtijevati usluge, priroda i opseg usluga koje će se zatražiti i kako će se informacije priopćiti potencijalnim kandidatima. Često na početku procesa odabira organizacija može održati sastanak sa svim potencijalnim kandidatima na kojem rukovodstvo održi formalnu prezentaciju kako bi se pokrile informacije vezane uz zahtjev za uslugom i kako bi se kandidatima pružio formalni paket informacija ili izvješće s opisom zahtijevane usluge. Nakon ovakvog sastanka uvodnog karaktera, mogu uslijediti sastanci s pojedincima, tj kandidatima koji mogu uključivati i predstavnike rukovodstva. Ostale kombinacije sastanaka i paketi informacija su također praktični i prikladni za posebne situacije.
159
Preporuke za rad
7. Zahtjev koji se odvija u dvije faze može biti potreban kako bi se olakšao proces ispitivanja, tj. da se suzi ili reducira broj potencijalnih pružatelja usluga na manji broj kandidata koji su ušli u završni krug odabira. Početni zahtjevi za informacijama trebaju se usredotočiti na dobivanje izjava o kvalifikacijama koje uključuju i popis poslova i ostale općenite informacije o potencijalnim kandidatima. Potrebno je dobiti informacije o povijesti tvrtke, veličini tvrtke, dostupnim resursima, filozofiji tvrtke i revizorskom pristupu, području specijalizacije, uredu u organizaciji ili izvan organizacije u kojem će se obavljati zadaci, sličnom iskustvu, te o biografijama ključnih članova tima kojima će se povjeriti revizija.
8. Nakon početnog ispitivanja, kandidatima koji prođu u sljedeću fazu selekcije šalje se drugi zahtjev za informacijama koje pružaju specifične detalje o usluzi. Potrebno je izraditi detaljan zahtjev za uslugama koji sadrži ključne planirane usluge i planirane ključne datume. Od kandidata je potrebno zatražiti da daju specifične detalje, kao što su cijene usluga. Može se dati i raspored za ostatak procesa s rokovima za dostavu dodatnih zahtijevanih informacija, sastanke na kojima će kandidati održati prezentacije članovima komisije za odabir i datum završnog odabira. Detaljan zahtjev za uslugom treba se odnositi posebno za svaku od zahtijevanih usluga i treba biti pokazatelj da li usluge mogu biti dodijeljene kao jedan paket usluga ili ih je moguće podijeliti između većeg broja kandidata.
9. Moglo bi biti korisno usporediti i zbrojiti karakteristike kandidata po ključnim kriterijima u formatu koji bi omogućio dosljednu ocjenu svih pružatelja usluga. Mogu se postavljati pitanja koja stimuliraju proces razmatranja i usmjeravaju ocjenu na ključne kriterije. Obrazac za ocjenjivanje može olakšati sakupljanje podataka za svakog sudionika i zaključaka o svakom od kandidata. Informacije kao što su informacije o povijesti organizacije s različitim kandidatima, vrsta usluga koje je kandidat pružao te povijest naknada naplaćenih za usluge mogu pružiti komisiji za odabir adekvatno polazište za procjenu.
10. Uvjeti usluge vanjske revizije trebaju biti dokumentirani u pisanom ugovoru koji treba biti potpisan od strane pružatelja usluge i klijenta.
11. Ako proces odabira rezultira u promjeni pružatelja usluge, potrebno je napraviti prikladne planove za prijelaz kako bi se omogućilo glatko i uredno obavljanje promjene. Sve zainteresirane strane, uključujući i regulatorna tijela treba potrebno je pravovremeno obavijestiti.
12. Interni revizori trebaju odrediti kako organizacija nadzire aktivnosti vanjskih revizora koje su u tijeku. Ispunjavanje uvjeta ugovora o pružanju usluga i ostalih ugovora potrebno je redovno ocjenjivati. Ocjena neovisnosti vanjskih revizora treba uključivati i sudjelovanje interne revizije i treba je donositi barem jednom godišnje te priopćiti odboru za reviziju.
160
Okvir profesionalnog djelovanja
Preporuka za rad 2060-1:Izvještavanje
odbora i višeg menadžmenta
Tumačenje Standarda 2060 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2060 - Izvještavanje odbora i višeg menadžmentaGlavni revizor trebao bi povremeno izvještavati odbor i viši menadžment o svrsi aktivnosti interne revizije, nadležnom tijelu, odgovornosti i učinku koji je važan za njen plan. Izvještavanje bi također trebalo uključiti značajna izlaganja rizicima i probleme kontrole, probleme korporativnog upravljanja te druga pitanja koja su potrebna ili koja je zatražio odbor i viši menadžment.
Priroda ovih preporuka za rad: interni revizori trebali bi razmotriti sljedeće prijedloge pri izvještavanju odbora i višeg menadžmenta. Ove smjernice nisu namijenjene predstavljanju svega što je potrebno uzeti u obzir, već jednostavno preporučenog niza stvari kojima treba pristupiti.
1. Glavni revizor trebao bi tijekom godine povremeno predavati izvješća o aktivnosti višem menadžmentu i odboru. Izvješća o aktivnosti bi trebala naglašavati značajna zapažanja o angažmanu i preporuke te izvijestiti viši menadžment i odbor o svim važnim odstupanjima od odobrenog radnog rasporeda angažmana, plana za osoblje i financijskih sredstava te njihovih razloga.
2. Važna zapažanja o angažmanu su uvjeti koji bi, prema procjeni glavnog revizora, mogli imati štetan utjecaj na organizaciju. Važna zapažanja o angažmanu mogu uključivati uvjete u kojima rješavaju nepravilnosti, nezakonita djela, greške, neefikasnost, štete zbog nehata, neučinkovitost, sukob interesa i slabosti kontrole. Nakon što izvrši reviziju takvih uvjeta s višim menadžmentom, glavni revizor bi trebao priopćiti važna zapažanja o angažmanu i dati preporuke odboru, bilo da su one riješene na zadovoljavajući način ili ne.
3. Odgovornost rukovodstva je donošenje odluka o primjerenom djelovanju koje treba poduzeti vezano za važna zapažanja o angažmanu i preporuke. Viši menadžment može odlučiti preuzeti rizik da ne ispravi stanje o kojem je dobila izvještaj zbog troška ili drugih obzira. Odbor bi trebao biti obaviješten o odlukama višeg menadžmenta u vezi svih važnih zapažanja i preporuka.
161
Preporuke za rad
4. Glavni revizor bi trebao uzeti u obzir primjerenost pružanja obavijesti odboru u vezi s prethodno priopćenim značajnim zapažanjima i preporukama u onim slučajevima kada su viši menadžment i odbor preuzeli rizik da ne isprave stanje o kojem su primili izvještaj. Ovo može biti potrebno osobito kada je došlo do promjena organizacije, odbora, višeg menadžmenta te drugih promjena.
5. Uz teme koje su pokrivene u gornjem tekstu, izvješća o aktivnosti trebala bi također usporediti (a) stvarnu izvedbu s ciljevima aktivnosti interne revizije i revizijom radnih rasporeda i (b) rashode s financijskim sredstvima. Izvješća bi trebala objasniti razlog glavnih odstupanja i uputiti na svako poduzeto ili nužno djelovanje.
162
Okvir profesionalnog djelovanja
Preporuka za rad 2060-2:Povezanost s Odborom za reviziju
Tumačenje standarda 2060 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2060 - Izvještavanje odbora i višeg menadžmentaGlavni revizor trebao bi povremeno izvještavati odbor i viši menadžment o svrsi aktivnosti interne revizije, nadležnom tijelu, odgovornosti i učinku koji je važan za njen plan. Izvještavanje bi također trebalo uključiti značajna izlaganja rizicima i probleme kontrole, probleme korporativnog upravljanja te druga pitanja koja su potrebna ili koja je zatražio odbor i viši menadžment.
Priroda ovih preporuka za rad: interni revizori trebali bi razmotriti sljedeće prijedloge koji se odnose na povezanost aktivnosti interne revizije i odbora za reviziju nadležnog tijela.Ove smjernice nisu namijenjene tome da predoče sve što je potrebno uzeti u obzir, već samo pružaju sažetak ključnih informacija vezanih za odgovarajuće veze odbora za reviziju i interne revizije.
1. Način na koji se upotrebljava pojam ‘’odbor za reviziju’’ u ovom tekstu odnosi se na nadležno tijelo koje ima zadaću nadzora nad revizijom organizacije i kontrolnih funkcija. Iako se za ove fiducijarne dužnosti često ovlašćuje odbor za reviziju upravnog odbora, informacije u ovim preporukama za rad također bi trebale biti primjenjive na druge nadzorne grupe s jednakim ovlastima i odgovornostima, kao što su povjerenici, zakonodavna tijela, vlasnici subjekata kojima upravljaju vlasnici, interni odbori za kontrolu ili upravni odbori u punom sazivu.
2. Institut internih revizora (IIA) prepoznaje da odbori za reviziju i interni revizori imaju ciljeve koji se isprepliću. Jaka radna povezanost s odborom za reviziju je ključna za pojedinačno ispunjavanje odgovornosti prema višem menadžmentu, upravnom odboru, dioničarima i drugim vanjskim strankama. Preporuke za rad daju sažetak mišljenja IIA-a vezanih uz aspekte i karakteristike odgovarajuće povezanosti između odbora za reviziju i funkcija interne revizije. IAA potvrđuje da odgovornosti odbora za reviziju uključuju aktivnosti koje su izvan opsega ovih preporuka za rad te ni u kojem slučaju nema namjeru biti opširnim opisom odgovornosti odbora za reviziju.
3. Postoje tri područja aktivnosti koja su ključna za efikasnu povezanost između odbora za reviziju i funkcije interne revizije, prvenstveno putem osobe glavnog revizora:
163
Preporuke za rad
• pomaganje odboru za reviziju da osigura odgovarajuću povelju, aktivnosti i procese kako bi se izvršile odgovornosti
• osigurati jasno razumijevanje povelje, uloge i aktivnosti interne revizije te također da one odgovaraju potrebama odbora za reviziju i upravnog odbora
• održavanje otvorene i djelotvorne komunikacije s odborom za reviziju i predsjednikom.
Odgovornosti odbora za reviziju
4. Glavni revizor bi trebao pružati potporu odboru osiguravajući da su povelja, uloge i aktivnosti odbora odgovarajuće za postizanje odgovornosti. Glavni revizor može igrati važnu ulogu pomažući odboru da povremeno revidira svoje aktivnosti i predlaže poboljšanja. Na ovaj način glavni revizor služi kao cijenjeni savjetnik odbora vezano za teme odbora za reviziju i regulatorne prakse. Primjerni aktivnosti koje glavni revizor može poduzeti su:• najmanje jednom godišnje izvršiti reviziju i savjetovati odbor o tome bavi li se
povelja svim odgovornostima koje su usmjerene prema odboru u obliku smjernica ili mandatima od strane upravnog odbora
• izvršiti reviziju ili zadržati dnevni red planiranja za sastanke odbora za reviziju u kojem se detaljno navode sve potrebne aktivnosti kako bi se osiguralo njihovo izvršavanje i koje pomažu odboru u godišnjem izvještavanju upravnog odbora o izvršenju svih dodijeljenih obveza
• sastaviti nacrt dnevnog reda za reviziju od strane predsjednika, olakšati raspodjelu materijala članovima odbora za reviziju te voditi zapisnik sastanaka odbora za reviziju
• dati poticaj odboru za reviziju za provođenje povremene revizije svojih aktivnosti i praksa u usporedbi s najboljim trenutnim praksama kako bi se osiguralo da su njegove aktivnosti sukladne vodećim praksama
• povremeno se sastajati s predsjednikom kako bi se raspravilo zadovoljavaju li materijali i informacije dostavljeni odboru njihove potrebe
• postaviti upit odboru za reviziju o tome smatraju li korisnima neku obrazovnu ili informativnu sjednicu ili prezentaciju, primjerice osposobljavanje novih članova odbora u pogledu rizika i kontrola
• postaviti upit odboru o tome jesu li učestalost i dodijeljeno vrijeme dostatni odboru.
Uloga aktivnosti interne revizije
5. Povezanost glavnog revizora s odborom za reviziju trebala bi se koncentrirati oko središnje uloge glavnog revizora kojom se osigurava da odbor za reviziju razumije, pruža potporu i prima svu potrebnu potporu od funkcije interne revizije. IIA
164
Okvir profesionalnog djelovanja
podržava koncept ispravnog upravljanja koje ovisi o sinergiji koja se stvara između četiri različite komponente djelotvornog korporativnog upravljanja sustavom: upravni odbor, rukovoditelji, interni revizori i vanjski revizori. U toj strukturi vanjski revizori i odbori za reviziju se međusobno podupiru. Razmatranje poslova internih revizora ključno je kako bi odbor za reviziju dobio cjelovito razumijevanje poslovanja organizacije. Primarna komponenta uloge glavnog revizora s odborom je osigurati izvršenje ovog cilja, a odbor smatra glavnog revizora savjetnikom kojem vjeruje. Glavni revizor može izvršavati nekoliko aktivnosti kako bi ostvario svoju ulogu:
• zahtijevati od odbora izvršavanje revizije i odobravanje povelje interne revizije na godišnjoj osnovi. (Model povelja odjela za internu reviziju dostupan je na internetskoj stranici IIA-e pod: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=383)
• zajedno s odborom za reviziju izvršiti reviziju funkcionalnih i administrativnih linija izvještavanja interne revizije kako bi se osiguralo da organizacijska struktura koja se provodi dopušta dovoljnu nezavisnost vanjskim revizorima (Preporuke za rad 110-2'', ''Linije izvještavanja glavnog revizora'')
• u povelju odbora za reviziju uključiti pregled odluka glavnog revizora o zapošljavanju, uključujući imenovanje, kompenzaciju, procjenu, zadržavanje i otpuštanje
• u povelju uključiti prijedloge za eksternaliziranje internih revizorskih aktivnosti kako bi odbor za revizije izvršio reviziju i odobrio prijedloge
• pomagati odboru za revizije u procjeni adekvatnosti osoblja i proračuna te opsega rezultata internih aktivnosti revizije, kako bi se osiguralo da ne postoje ograničenja vezana za proračun ili opseg koja bi sprječavala sposobnost funkcije internog revizora da izvrši svoje odgovornosti
• pružiti informaciju o koordinaciji s i nadzorom drugih funkcija kontrole i praćenja (npr. upravljanje rizicima, usklađenost, sigurnost, poslovni kontinuitet, pravna, etička, ekološka i vanjska revizija).
• izvještavati o važnim pitanjima koja se odnose na procese za kontrolu aktivnosti organizacije i njenih podružnica, uključujući potencijalna poboljšanja ovih procesa i pružati informacije vezane za takva pitanja kroz rezoluciju
• pružati informaciju višem menadžmentu i odboru za reviziju o statusu i rezultatima godišnjeg plana revizije i dostatnosti sredstava odjela za viši menadžment i odbor za reviziju
• razviti fleksibilan godišnji plan revizije koristeći odgovarajuću metodologiju temeljenu na rizicima, uključujući sve rizike ili bojazni vezano za kontrolu koje je prepoznalo rukovodstvo te predati plan odboru za revizije na pregled i odobravanje kao i povremeno ažuriranje
• izvještavati o implementaciji godišnjeg plana revizije, prema odobrenju, uključujući prema potrebi bilo kakve posebne zadaće ili projekte koje je zatražilo rukovodstvo i odbor za revizije
165
Preporuke za rad
• u povelju interne revizije uključiti odgovornost odjela za internu reviziju da izvještava odbor za revizije u dogovorenim vremenskim razmacima o bilo kakvoj zloporabi koja bi uključivala rukovodstvo ili zaposlenike koji su znatno uključeni u interne kontrole tvrtke. Pomagati u istrazi značajnih aktivnosti zloporabe na koje se sumnja unutar organizacije i obavijestiti rukovodstvo i odbor za revizije o rezultatima
• odbori za reviziju trebali biti svjesni da se kvalitetna procjena aktivnosti interne revizije provodi svakih pet godina kako bi se za aktivnost revizije moglo reći da zadovoljava Međunarodne standarde za stručnu provedbu interne revizije (Standardi) IIA-a. Stalne procjene kvalitete bit će jamstvo odboru za revizije i rukovodstvu da su aktivnosti interne revizije sukladne Standardima.
Komunikacija s odborom za reviziju
6. Kako se ne bi umanjila vrijednost aktivnosti koje su zabilježene gore, u velikoj mjeri cjelokupna djelotvornost povezanosti glavnog revizora i odbora za reviziju bit će koncentrirana na komunikacije među strankama. Odbori za reviziju danas očekuju visoku razinu otvorene i iskrene komunikacije. Ako odbor glavnog revizora treba promatrati kao savjetnika u kojeg ima povjerenja, komunikacija je ključni element. Interna revizija po definiciji može pomoći odboru za reviziju da ostvari svoj cilj donoseći sustavan, discipliniran pristup svojim aktivnostima, no ako nema odgovarajuće komunikacije, odbor ovo ne može utvrditi. Glavni revizor bi trebao razmotriti davanje izvješća odboru za revizije u sljedećim područjima:• odbori za reviziju trebali bi se redovito privatno susretati s glavnim revizorom
kako bi se raspravljalo o osjetljivim problemima• pružiti godišnji izvještaj u kojem se sažima ili procjenjuje rezultate aktivnosti
revizije koji se odnose na definiranu misiju i opseg revizorskog rada• izdavati povremena izvješća odboru za reviziju i rukovodstvu sažimajući rezultate
revizorske aktivnosti• odbor za reviziju treba obavještavati o trendovima koji se pojavljuju i uspješnim
praksama u internoj reviziji• zajedno s vanjskim revizorima raspraviti o ispunjavanju potreba odbora za
informacijama • pregledati cjelovitost i točnost informacija koje se predaju odboru za reviziju • potvrditi da postoji djelotvorna i učinkovita koordinacija posla vezano za aktivnosti
internih i vanjskih revizora. Utvrditi postoji li neko udvostručavanje između rada internih i vanjskih revizora te dati razloge za takvo udvostručavanje.
166
Okvir profesionalnog djelovanja
Preporuka za rad 2100-1:Priroda posla
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge kad procjenjuju prirodu rada aktivnosti interne revizije. Ove smjernice nisu namijenjene predočavanju što treba uzeti u obzir tijekom takve procjene, već jednostavno predstavljaju preporučeni niz stvari kojima bi se trebalo baviti.
1. Opseg rada interne revizije uključuje sustavni, disciplinirani pristup procjeni i poboljšanju adekvatnosti i učinkovitosti procesa upravljanja rizicima, kontrole i korporativnog upravljanja te kvalitete učinka u izvršavanju dodijeljenih odgovornosti. Svrhe procjene adekvatnosti postojećih procesa upravljanja rizicima, kontrole i korporativnog upravljanja je da pruži: (1) razumno uvjerenje da ovi procesi funkcioniraju prema namjeri te da će omogućiti ostvarivanje ciljeva i svrha i (2) preporuku za poboljšanje poslovanja organizacije i u smislu učinkovitog i djelotvornog učinka. Viši menadžment i odbor također mogu dati općenito usmjerenje u vezi opsega rada i aktivnosti koje treba revidirati.
2. Adekvatnost upravljanja rizicima, procesa kontrole i korporativnog upravljanja postoji ako ih je uprava planirala i oblikovala na način koji pruža razumno uvjerenje da će se ciljevi i svrha organizacije postići učinkovito i ekonomično. Učinkovita izvedba ostvaruje ciljeve i svrhu na točan, pravovremen i ekonomičan način. Ekonomična izvedba ostvaruje ciljevi i svrhu uz minimalno korištenje resursa (odn. troškova) razmjerno izlaganju riziku. Razumno uvjerenje daje se ako su poduzete najpovoljnije mjere u fazama oblikovanja i implementacije kako bi se smanjilo rizike i ograničilo očekivana odstupanja na razinu koja se može tolerirati. Stoga proces oblikovanja počinje određivanjem ciljeva i svrhe. Zatim slijede povezivanje ili stavljanje u međusoban odnos koncepata, dijelova, aktivnosti i ljudi na način da se može zajedno poslovati kako bi se postigli postavljeni ciljevi i svrha.
3. Učinkovitost upravljanja rizicima, procesima kontrole i korporativnog upravljanja prisutna je ako rukovodstvo usmjerava procese na takav način da pruži razumno uvjerenje da će se ostvariti ciljevi i svrhe organizacije. Uz ostvarivanje ciljeva i planiranih aktivnosti, rukovodstvo usmjerava dajući ovlasti za aktivnosti i transakcije,
167
Preporuke za rad
nadzirući učinak koji proizlazi i potvrđujući da procesi organizacije teku prema planu.
4. Općenito govoreći, rukovodstvo je odgovorno za održivost cijele organizacije i snosi odgovornost prema vlasnicima, drugim dioničarima, regulatorima i široj javnosti za djelovanje, ponašanje i učinak organizacije. Konkretno, prvenstveni ciljevi cjelokupnog procesa upravljanja su postići sljedeće:• relevantnu, pouzdanu i vjerodostojnu informaciju o financijama i poslovanju• efikasno i djelotvorno korištenje resursa organizacije • čuvanje imovine organizacije • poštivanje zakona, propisa, etičkih i poslovnih normi i ugovora• prepoznavanje izloženosti riziku i korištenje učinkovite strategije za kontrolu• utvrđeni ciljevi i svrha za poslovanje ili programe.
5. Rukovodstvo planira, organizira i usmjerava učinak dostatnih aktivnosti da se pruži razumno uvjerenje za postizanja ciljeva i svrhe. Rukovodstvo povremeno revidira svoje ciljeve i svrhu i izmjenjuje svoje procese kako bi se udovoljilo promjenama u internim i vanjskim uvjetima. Rukovodstvo također ostvaruje i održava organizacijsku kulturu, uključujući etičku klimu koja razumije izlaganje riziku i implementira djelotvorne strategije rizika za njihovo upravljanje.
6. Kontrola je bilo koje djelovanje koje poduzima rukovodstvo kako bi se poboljšala vjerojatnost ostvarivanja utvrđenih ciljeva i svrhe. Kontrola može biti preventivna (kako bi se spriječili neželjeni događaji), detektivna (kako bi se prepoznali i ispravili neželjeni događaji koji su nastupili) ili direktivna (kako bi se uzrokovao ili ohrabrio poželjni događaj). Koncept sustava kontrole je integrirani skup komponenata kontrole i aktivnosti koje koristi organizacija kako bi postigla svoje ciljeve i svrhu.
7. Interni revizori procjenjuju cijeli proces upravljanja od planiranja, organiziranja i usmjeravanja kako bi utvrdili postoji li razumno uvjerenje da će se ostvariti ciljevi i svrha. Interni revizori trebali bi paziti na prave ili potencijalne promjene internih ili vanjskih uvjeta koji utječu na sposobnost pružanja uvjerenja iz buduće perspektive. U tim slučajevima interni revizori bi se trebali baviti rizikom pogoršanja učinka.
8. Ove procjene vanjske revizije, sve u svemu, pružaju informaciju za procjenu cjelokupnog procesa upravljanja. Svi poslovni sustavi, procesi, poslovanje, funkcije i aktivnosti unutar organizacije ovisni su o procjeni internog revizora. Sveobuhvatan opseg posla internog revizora trebao bi dati razumno uvjerenje da rukovodstvo ima:• djelotvoran sustav upravljanja rizicima• adekvatan sustav interne kontrole, djelotvoran i efikasan• upravljački proces koji je djelotvoran utvrđivanjem i očuvanjem vrijednosti,
postavljanjem ciljeva, praćenjem aktivnosti i učinka te definiranjem mjere odgovornosti.
168
Okvir profesionalnog djelovanja
Preporuka za rad 2100-2:Sigurnost informacija
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge pri procjeni aktivnosti upravljanja organizacije povezanih sa sigurnošću informacija. Ove smjernice nisu namijenjene predočavanju svih potrebnih postupaka za sveobuhvatno uvjerenje ili angažman za savjetovanje koji je povezan sa sigurnošću informacija, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunile srodne odgovornosti odbora i rukovodstva.
1. Interni revizori trebali bi utvrditi kako rukovodstvo i odbor imaju jasno razumijevanje da je sigurnost informacija odgovornost rukovodstva. Ova odgovornost uključuje sve ključne informacije organizacije bez obzira na medij u kojim je pohranjena informacija.
2. Glavni revizori trebali bi odrediti kako aktivnost interne revizije posjeduje ili ima pristup stručnim resursima za provođenje revizije kako bi procijenila sigurnost informacija i povezane rizike izlaganja. Ovo uključuje i interne i vanjske rizike izlaganja, uključujući izlaganje koje se odnosi na povezanost organizacije s vanjskim subjektima.
3. Interni revizori trebaju odrediti kako je odbor tražio uvjerenje od rukovodstva da će se prodori u sigurnost informacija i uvjeti koji mogu predstavljati prijetnju organizaciji odmah obznaniti onima koji obavljaju aktivnost interne revizije.
4. Interni revizori trebaju procijeniti učinkovitost preventivnih, detektivnih i mjera za ublažavanje protiv prošlih napada, prema tome što se smatra primjerenim, te budućih napada ili događaja za koje se smatra da će se vjerojatno dogoditi. Interni revizori trebali bi potvrditi da je odbor na primjeren način obaviješten o prijetnjama, slučajevima, iskorištenim slabostima te korektivnim mjerama.
5. Interni revizori bi povremeno trebali procjenjivati praksu sigurnosti informacija organizacije i prema potrebi preporučiti poboljšanja ili implementaciju novih
169
Preporuke za rad
kontrola i osiguranja. Nakon procjene, odboru treba predati izvješće o uvjerenju. Takve procjene se mogu provoditi kao odvojeni neovisni angažmani ili višestruki angažmani koje se kasnije integrira u druge revizije ili angažmane koji se provode kao dio odobrenog plana revizije.
170
Okvir profesionalnog djelovanja
Preporuka za rad 2100-3:Uloga interne revizije
u procesu upravljanja rizicima
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: definicija interne revizije zahtijeva ‘’...discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizicima, procesa kontrole i korporativnog upravljanja. Interni revizori igraju ključnu ulogu u procesu upravljanja rizicima organizacije kako bi provodili internu reviziju u skladu sa standardima. U ovim preporukama za rad revizoru se pružaju smjernice za određivanje svoje uloge u procesu upravljanja rizicima organizacije i za poštivanje Standarda. Osim razmatranja koja sadrže ove preporuke za rad, mogu biti potrebna i dodatna razmatranja..
1. Upravljanje rizicima ključna je odgovornost rukovodstva. Kako bi se postigli poslovni ciljevi, rukovodstvo bi trebalo osigurati postojanje i funkcioniranje valjanih procesa upravljanja rizicima. Upravni odbori i odbori za reviziju imaju ulogu nadzora kako bi utvrdili postojanje odgovarajućih procesa upravljanja rizicima i kako su uvedeni procesi adekvatni i djelotvorni. Interni revizori trebaju pomagati i rukovodstvu i odboru za revizije pregledom, procjenom, izvještavanjem i preporukom poboljšanja adekvatnosti i učinkovitosti procesa upravljanja rizicima. Rukovodstvo i odbor snose odgovornost za upravljanje rizicima svoje organizacije i procese kontrole. Međutim, interni revizori koji igraju konzultacijsku ulogu mogu pomagati organizaciji u prepoznavanju, procjeni i implementaciji metodologija upravljanja rizicima i kontrola kako bi se pristupilo rješavanju rizika.
2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visok prioritet revizije. Procjena procesa upravljanja rizicima razlikuje se od uvjeta da revizori koriste analizu rizika kako bi planirali reviziju. Međutim, informacije iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju bojazni rukovodstva i odbora može pomoći internom revizoru u planiranju aktivnosti revizije.
171
Preporuke za rad
3. Glavni revizor trebao bi razumjeti očekivanja rukovodstva i odbora u vezi aktivnosti interne revizije u procesu upravljanja rizicima organizacije. Ovo razumijevanje trebalo bi kodificirati u povelji aktivnosti interne revizije i odbora za reviziju.
4. Odgovornosti i aktivnosti bi trebalo koordinirati između svih grupa i pojedinaca s ulogom u procesu upravljanja rizicima organizacije. Ove odgovornosti i aktivnosti trebalo bi dokumentirati na odgovarajući način u strateškim planovima organizacije, mjerama odbora, direktivama uprave, postupcima u poslovanju i drugim instrumentima upravljačkog tipa. Primjeri aktivnosti i odgovornosti koje bi trebalo dokumentirati uključuju:• određivanje strateškog smjera moglo bi biti odgovornost upravnog odbora ili
odbora za reviziju• vlasništvo rizika moglo bi se dodijeliti razini višeg menadžmenta• prihvaćanje preostalog rizika moglo bi biti odgovornost razine izvršnog
rukovodstva• kontinuirani procesi prepoznavanja, procjene, ublažavanja i nadzora mogu se
dodijeliti na razini poslovanja i• povremena procjena i uvjerenje drugima trebala bi preuzeti interna revizorska
aktivnost.
5. Od internih revizora očekuje se prepoznavanje i procjena značajnog izlaganja rizicima u normalnom tijeku svojih dužnosti.
6. Uloga aktivnosti interne revizije u procesu upravljanja rizicima organizacije može se tijekom vremena promijeniti te pronaći u nekom trenutku u kontinuumu koji se proteže od:• bez uloge prema reviziji procesa upravljanja rizicima kao dio internog plana
revizije do• aktivne, kontinuirane podrške i uključenosti u proces upravljanja rizicima kao
što je sudjelovanje u odborima za nadzor, aktivnostima praćenja i izvještavanja o stanju do upravljanja i koordinacije procesom upravljanja rizicima.
7. Konačno, uloga je izvršnog menadžmenta i odbora za reviziju odrediti ulogu interne revizije u procesu upravljanja rizicima. Stajalište rukovodstva glede uloga internih revizora vjerojatno će biti određeno faktorima kao što je kultura organizacije, sposobnost osoblja za internu reviziju, uvjeta koji vladaju na području te običaja zemlje.
8. Dodatne smjernice mogu se naći u sljedećim preporukama za rad:• PR2100-4, ‘’Uloga interne revizije u organizacijama bez procesa upravljanja
rizicima’’• PR1130.A1-2,’’Odgovornost interne revizije za ostale (nerevizorske) funkcije’’• PR2110-1,’’Procjena adekvatnosti procesa upravljanja rizicima’’• PR2010-2,’’Povezivanje plana revizije s rizikom i izloženostima“.
172
Okvir profesionalnog djelovanja
Preporuka za rad 2100-4:Uloga interne revizije
u organizacijama bez procesa upravljanja rizicima
Tumačenje standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Definicija interne revizije zahtijeva ‘’..discipliniran pristup procjeni i poboljšanju učinkovitosti upravljanja rizicima, kontrole i procesa korporativnog upravljanja. Interni revizori igraju ključnu ulogu u procesu upravljanja rizika organizacije kako bi provodili internu reviziju u skladu sa Standardima. Međutim, neke organizacije nemaju ustanovljen proces upravljanja rizicima. Ovim preporukama za rad internim revizorima želi se pružiti smjernice za određivanje njihove uloge u organizaciji bez ustanovljenog procesa za upravljanje rizicima. Osim razmatranja koja sadrže ove preporuke za rad, mogu biti potrebna i daljnja razmatranja.
1. Upravljanje rizicima je ključna odgovornost uprave. Kako bi se postigli poslovni ciljevi, uprava bi trebala osigurati valjane procese upravljanja rizicima koji se primjenjuju i funkcioniraju. Upravni odbori i odbori za reviziju imaju nadzornu ulogu kako bi utvrdili da su ovi procesi adekvatni i djelotvorni. Interni revizori trebaju pomagati i upravi i odboru za reviziju pregledom, procjenom, izvještavanjem i preporukom poboljšanja glede adekvatnosti i učinkovitosti procesa upravljanja rizicima uprave. Uprava i odbor snose odgovornost za upravljanje rizicima svoje organizacije i procese kontrole. Međutim, interni revizori koji igraju konzultacijsku ulogu mogu pomagati organizaciji u prepoznavanju, procjeni i implementaciji metodologija upravljanja rizicima i kontrolama kako bi se pristupilo tim rizicima.
2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visok prioritet revizije. Procjena procesa upravljanja rizicima razlikuje se od uvjeta da revizori koriste analizu rizika kako bi planirali reviziju. Međutim, informacija iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju bojazni uprave i odbora može pomoći internom revizoru u planiranju aktivnosti revizije.
173
Preporuke za rad
3. Glavni revizor trebao bi razumjeti očekivanja uprave i odbora u vezi aktivnosti interne revizije u procesu upravljanja rizicima organizacije. Ovo razumijevanje trebalo bi kodificirati u povelji aktivnosti interne revizije i odbora za reviziju.
4. Ako organizacija nema utvrđeni proces upravljanja rizicima, interni revizor bi navedeno trebao naglasiti upravi, zajedno s prijedlozima za utvrđivanje takvog procesa. Interni revizor trebao bi tražiti upravu i odbor da ga usmjeri vezano za ulogu aktivnosti u procesu upravljanja rizicima. Povelja i revizorske aktivnosti i odbor za reviziju trebali bi dokumentirati ulogu svakog od njih u procesu upravljanja rizicima.
5. Prema zahtjevu interni revizori mogu igrati proaktivnu ulogu pomažući u prvotnom uspostavljanju upravljanja procesima rizika za organizaciju. Proaktivnija uloga nadopuna je tradicionalnim aktivnostima uvjerenja s konzultacijskim pristupom poboljšanju temeljnih procesa. Ako takva pomoć prijeđe razumno uvjerenje i aktivnosti savjetovanja koje provode interni revizori, to bi moglo oštetiti neovisnost. U ovim situacijama interni revizori trebali bi poštovati uvjete o objavljivanju sadržane u Međunarodnim standardima za stručnu provedbu interne revizije (Standardi). Dodatne smjernice se također mogu naći u Preporukama za rad 1130.A1-2, ‘’Odgovornost interne revizije za ostale (nerevizijske) funkcije’’.
6. Proaktivna uloga u razvoju i upravljanju procesom upravljanja rizicima nije ista kao uloga ‘’vlasništva rizika’’. Kako bi se izbjegla uloga ‘’vlasništva rizika’’, interni revizori trebali bi zatražiti potvrdu od uprave s obzirom na njenu odgovornost za prepoznavanje, olakšavanje, praćenje i ‘’vlasništvo’’ nad rizicima.
7. Sažeto rečeno, interni revizori mogu olakšati ili omogućiti proces upravljanja rizicima, no oni ne bi trebali ‘’posjedovati’’ ili biti odgovorni za upravljanje prepoznatim rizicima.
174
Okvir profesionalnog djelovanja
Preporuka za rad 2100-5:Pravni obziri
u procjeni programa regulacijskog usklađivanja
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Interni revizori trebaju razmotriti sljedeće prijedloge kada procjenjuju programe regulacijskog usklađivanja organizacije. Namjera ovih preporuka za rad nije predstavljanje svih postupaka koji su potrebni za opće uvjerenje ili konzultacijski angažman u vezi s regulacijskim usklađivanjem.
Upozorenje: Interne revizore se potiče da potraže savjet pravnika u vezi sa svim pravnim pitanjima budući da uvjeti mogu znatno varirati u različitim nadležnostima. Smjernice koje su sadržane u ovim preporukama za rad su temeljene prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.
1. Programi usklađivanja pomažu organizacijama u sprječavanju nenamjernih povrjeda zaposlenika, otkrivanju nezakonitih aktivnosti i odvraćanju od namjernih povreda zaposlenika. Također mogu pomagati u dokazivanju odštetnih zahtjeva, određivanju odgovornosti direktora i rukovoditelja, stvoriti ili poboljšati identitet tvrtke i odlučiti o primjerenosti kaznenih odšteta. Interni revizori trebali bi procijeniti programe regulacijskog usklađivanja organizacije u svjetlu sljedećih preporučenih koraka za djelotvorne programe usklađivanja.
2. Organizacija bi trebala ustanoviti standarde usklađivanja i postupke koje trebaju slijediti njeni zaposlenici i drugi činitelji koji su u nekoj mjeri sposobni za smanjivanje mogućnosti kažnjivog ponašanja.• Organizacija bi trebala razviti pisani poslovni kodeks ponašanja koji jasno
određuje zabranjene aktivnosti. Ovaj kodeks bi trebao biti napisan na jeziku koji razumiju svi zaposlenici, uz izbjegavanje pravnog žargona.
• Dobar kodeks daje smjernice zaposlenicima o relevantnim problemima. Kontrolna lista, dio s pitanjima i odgovorima i s uputom za dodatne izvore daljnje informacije pomažu učiniti kodeks prihvatljivim za korisnike.
• Organizacija bi trebala sastaviti organizacijski dijagram na kojem su označeni članovi odbora, viši službenici, viši rukovoditelji za usklađivanje i osoblje odjela koje je odgovorno za implementaciju programa usklađivanja.
175
Preporuke za rad
• Kodeks ponašanja koji se smatra opterećen pravnim izrazima i ‘’jednostranim’’ od strane zaposlenika može povećati rizik da će se zaposlenici početi baviti neetičnim ili nezakonitim ponašanjem, dok su kodeksi koje se smatra jasnim i pravednim smanjuju rizik zaposlenika da se počnu baviti takvim aktivnostima .
• Tvrtke koje koriste sustav nagrađivanja uz koje su povezani financijski poticaji za naoko neetično ili nezakonito ponašanje mogu očekivati loše okruženje za usklađivanje.
• Tvrtke s međunarodnim poslovanjem trebale bi uvesti program usklađivanja na globalnoj bazi, ne samo za izabrane zemljopisne lokacije. Takvi programi trebaju odražavati odgovarajuće lokalne uvjete, zakone i propise.
3. Određenim pojedincima ili pojedincu unutar visoko rangiranog osoblja u organizaciji trebalo bi dodijeliti cjelokupnu odgovornost nadgledanja regulacijskog usklađivanja sa standardima i postupcima.• Visoko rangirano osoblje organizacije znači pojedince koji imaju veliku kontrolu
nad organizacijom ili veliku ulogu u stvaranju politike u okviru organizacije.• Visoko rangirano osoblje organizacije uključuje: direktora, izvršnog rukovoditelja,
pojedinca koji vodi glavnu funkcionalnu ili poslovnu jedinicu organizacije, kao što je prodaja, administracija ili financije i pojedinac sa znatnim vlasništvom dionica.
• Kako bi bili u potpunosti djelotvorni, izvršni direktor i drugo visoko rukovodstvo moraju biti u značajnoj mjeri uključeni u program.
• Dodjela glavne odgovornosti za usklađivanje glavnom savjetniku tvrtke u nekim organizacijama može uvjeriti zaposlenike da uprava nije posvećena programu i da je program važan samo pravnom odjelu, a ne cijeloj tvrtci. U drugim organizacijama suprotno može biti istinito.
• U velikoj tvrtci s nekoliko poslovnih jedinica odgovornosti za usklađivanje trebaju se dodijeliti visoko rangiranom osoblju u svakoj jedinici.
• Za tvrtku nije dovoljno stvoriti položaj glavnog rukovoditelja za usklađivanje i izabrati ostatak jedinice za usklađivanje. Tvrtka bi također trebala osigurati da navedeno osoblje ima odgovarajuću punomoć te resurse koji su potrebni za izvršavanje njihove misije. Osoblje za usklađivanje treba imati adekvatan pristup višem menadžmentu. Glavni rukovoditelj za usklađivanje bi trebao direktno izvještavati izvršnog direktora.
4. Organizacija bi trebala obratiti dužnu pozornost da ne delegira veliku diskrecijsku odgovornost pojedincima za koje organizacija zna, ili bi trebala znati uslijed provođenja dužne pozornosti, da imaju sklonost upuštanja u nezakonite aktivnosti. • Tvrtke bi trebale kandidate za zaposlenje na svim razinama podvrgnuti ispitivanju
prošlih prekršaja, posebno onih unutar korporativnog sektora.• U prijavama za zaposlenje trebalo bi tražiti potvrdu o nekažnjavanju. Stručnjake
bi trebalo ispitati o bilo kakvom disciplinskom postupku pred odborom za licenciranje.
176
Okvir profesionalnog djelovanja
• Trebalo bi obratiti dužnu pozornost osiguranju kako tvrtka ne bi povrijedila prava privatnosti zaposlenika i kandidata prema vrijedećim zakonima. Mnoge nadležnosti imaju zakone koji ograničavaju količinu informacija koje tvrtka može dobiti pri izvođenja provjere povijesti zaposlenika.
5. Organizacija bi trebala poduzeti korake da sve zaposlenike i druge činitelje učinkovito izvijesti o svojim standardima i postupcima, npr. zahtjevom za sudjelovanje u programima obuke ili distribucijom materijala koji na praktičan način objašnjavaju što je potrebno.• Učinkovitost programa usklađivanja ovisit će o načinima na koje ih se objavi
zaposlenicima. Općenito govoreći, interaktivni format je bolji od predavanja. Programi koje se predstavlja osobno obično funkcioniraju bolje nego programi koje se prenosi isključivo kroz formate videa ili igre. Programi koji se povremeno ponavljaju bolji su od jednokratnih prezentacija.
• Najbolji programi uključuju obuku zaposlenika koja im dopušta vježbanje novih tehnika i korištenje novih informacija. Takve aktivnosti su posebno prikladne s obzirom na obuku upravljanja, no djelotvorne su u pogledu zaposlenika na svim razinama.
• Jezik koji se koristi u kodeksu ponašanja organizacije i u priručnicima za zaposlenike trebao bi biti jednostavan za razumijevanje. Trebaju se pronaći i implementirati alternativne metode informiranja o kodeksu i priručniku za zaposlenike kojima nedostaje formalnog obrazovanja.
• Preporuke za usklađivanje, izjave i upozorenja trebalo bi raspodijeliti zaposlenicima u raznovrsnim medijima na raspolaganju: biltenima, posterima, e-mailom, upitnicima i prezentacijama.
• Organizacije bi trebale predstaviti program na raznim prigodama različitim grupama zaposlenika, ciljajući na informacije predstavljene na područjima koja su važna svakoj funkcionalnoj grupi zaposlenika. Informacije bi trebale biti prilagođene zahtjevima posla te grupe. Na primjer, informacije o usklađivanju ekologije trebalo bi usmjeriti na one odjele kao što je proizvodni ili upravljanje nekretninama gdje postoji veća vjerojatnost kršenja ili otkrivanja kršenja takvih zakona i propisa. S druge strane, pružati takvu obuku odjelu koji nema nikakve takve odgovornosti moglo bi biti štetno, kao i ohrabrivati apatiju zaposlenika ili vjerovati da program nije dobro osmišljen.
• Novi zaposlenici trebali bi dobiti temeljnu obuku usklađivanja kao dio svoje orijentacije. Kasnije ih se može uključiti u tekuća nastojanja za usklađivanje u njihovim odjelima.
• Agente organizacije trebalo bi zamoliti da pohađaju prezentacije koje su usmjerene posebno na njih. Važno je da organizacija obavijesti svoje agente o temeljnim vrijednostima organizacije, te da se akcije njenih agenata u ime tvrtke prati u vezi s programom usklađivanja. Organizacija bi trebala biti spremna prestati poslovati s agentima koji ne poštuju standarde usklađivanja organizacije.
• Organizacije bi od zaposlenika trebale zahtijevati povremenu potvrdu kako su pročitali, razumjeli i djelovali u skladu s kodeksom ponašanja tvrtke. Ovu
177
Preporuke za rad
informaciju bi trebalo godišnje priopćiti višem menadžmentu i upravnom odboru.
• Svi dokumenti povezani s etikom-kodeksi ponašanja, mjere ljudskih resursa/priručnici itd. – trebali bi biti dostupni svim zaposlenicima. Stalna mogućnost pristupa, kao na primjer kroz intranet organizacije, snažno se potiče.
6. Organizacija bi trebala poduzeti razumne korake kako bi postigla usklađenost sa svojim standardima, npr. korištenjem sustava za praćenje i reviziju pravilno osmišljenih koraka za opažanje kažnjivog ponašanja od strane svojih zaposlenika i drugih agenata te uz pomoć postojećeg i objavom sustava izvještavanja putem kojeg bi zaposlenici i drugi agenti mogli prijaviti kažnjivo ponašanje od strane drugih u okviru organizacije, a bez straha odmazde. • Organizacija bi trebala posvetiti određeni iznos svojih sredstava za plan interne
revizije koji je primjeren veličini tvrtke te težini zadaće revizije. Plan revizije bi se trebao koncentrirati na aktivnosti organizacije u svakom od njenih poslova.
• Plan revizije bi također trebao uključivati pregled programa usklađivanja organizacije i njene postupke, uključujući preglede za određivanje sljedećeg: jesu li pisani materijali djelotvorni, dobivaju li zaposlenici izvješća, obrađuju li se otkriveni prekršaji na primjeren način, je li disciplina bila pravedna, protiv doušnika nije bilo odmazde, te je li jedinica za usklađivanje ispunila svoje dužnosti. Revizori bi trebali pregledati program usklađivanja kako bi odredili može li ga se odobriti te zamoliti zaposlenike za ulazne informacije u tom pogledu.
• Svaki program trebao bi imati ‘’vruću liniju’’ ili drugi sustav prijave prema kojem zaposlenici mogu prijaviti aktivnost za koju vjeruju da je neetička, nezakonita ili protiv kodeksa ponašanja tvrtke. Zaposlenici moraju biti slobodni prijaviti takvo ponašanje bez straha od odmazde.
• Iako je odvjetnik koji prati vruću liniju u boljoj poziciji zaštititi tajnost odnosa odvjetnik-klijent i posao-proizvod, u jednoj studiji je primijećeno da zaposlenici imaju malo povjerenja u vruće linije na koje odgovora pravni odjel ili vanjska služba. Ista studija je pokazala da se zaposlenici još manje pouzdaju u izvješća koja trebaju ispuniti ili u osobu za žalbe izvan tvrtke, no imaju najviše povjerenja u vruće linije na koje odgovaraju predstavnici unutar tvrtke uz prateće mjere bez odmazde.
• Korištenje osobe zadužene za žalbe unutar organizacije je djelotvornije ako ona direktno izvještava rukovoditelja za usklađivanje ili upravni odbor, ako osoba zadužena za žalbe drži imena doušnika tajnom, ako osoba zadužena za žalbe daje smjernice doušnicima, te ako poduzima naknadnu reviziju kako bi se osiguralo da nije došlo do odmazde. Uz to, neke nadležnosti osobama zaduženima za žalbe priznaju ograničenu obvezu tajnosti prema kojem je osoba zadužena za žalbe zaštićena od davanja povjerljivih izvješća koje su joj doušnici odali.
• Djelotvorno oruđe za otkrivanje neetičkih i nezakonitih aktivnosti je etički upitnik. Svaki zaposlenik organizacije trebao bi primiti upitnik u kojem se zaposlenika pita zna li nešto o podmićivanju ili drugim nezakonitim djelima.
178
Okvir profesionalnog djelovanja
Kako bi se zaštitila tajnost, upitnik bi trebalo poslati savjetnik organizacije, u njemu bi trebala biti izjava da je upitnik zaštićen povjerljivošću informacija, a zaposlenici trebaju ispuniti upitnik, potpisati te vratiti upitnik bez stvaranja kopije, uz izjavu da organizacija zadržava pravo objaviti informaciju koju je tvrtka primila državnim agencijama ili u sudskom procesu.Treba napomenuti da se povjerljivost informacija gubi ako se upitnik otkrije vanjskim stranama.
7. Standarde treba dosljedno provoditi kroz odgovarajuće disciplinske mehanizme uključujući prema potrebi discipliniranje pojedinaca koji su odgovorni za neuočavanje prekršaja. Adekvatno discipliniranje pojedinaca koji su dogovorni za prekršaj je potrebna sastavnica primjene; međutim, oblik discipliniranja koje je potreban određivat će se ovisno o slučaju.
8. Program usklađivanja trebao bi sadržavati disciplinski sustav prema kojem oni koji prekrše kodeks ponašanja organizacije bivaju kažnjeni prema prekršaju, kao što je upozorenje, neisplata, suspenzija, premještaj ili otkaz. No, ako se otkrije da je zaposlenik počinio neko nezakonito djelo, organizacija će morati otpustiti zaposlenika u skladu s obvezom organizacije da koristi ‘’dužnu pažnju da ne delegira veliko diskrecijsko ovlaštenje pojedincima za koje je organizacija znala, ili trebala znati kao posljedica provođenja dužne pažnje, da imaju sklonost upuštanja u nezakonite aktivnosti.’’ • Discipliniranje prema programu mora biti pravedno. Program ima malu šansu
za uspjeh ako se ne kažnjava neetička ili nezakonita aktivnost, posebice ako se povezuje s aktivnostima višeg menadžmenta ili velikih proizvođača. Prekršaji koji se ignoriraju od strane tih osoba poticat će takvo ponašanje kod ostalih zaposlenika.
• Otkaz ili druge disciplinske akcije prema zaposlenicima mogu biti ograničene zakonima o doušnicima, uz iznimku doktrine slobodnog otpuštanja zaposlenika, ugovora sa zaposlenicima ili sindikatima i dužnostima zaposlenika u pogledu diskriminacije, nezakonitog otpuštanja i zakona/doktrina loše vjere poslodavca.
• Program bi trebao pružati discipliniranje rukovoditelja i dugih odgovornih osoba koje su znale ili trebale znati o kršenju dužnosti, a nisu ga prijavile. Nemogućnost programa da to učini može se sudu učiniti kao neučinkovitost programa; program tada neće imati povoljan utjecaj na presudu.
• Organizacija bi trebala imati obzira i biti temeljita u dokumentiranju discipline zaposlenika. Organizacija bi trebala biti u stanju dokazati da je učinila najbolje što je mogla kako bi sakupila informacije u pogledu bilo kakvog događaja te je djelovala na primjeren način na temelju dostupnih informacija.
9. Nakon otkrivanja prekršaja, organizacija bi trebala poduzeti sve opravdane korake kako bi na primjeren način odgovorila na prekršaj i spriječila ponavljanje sličnih prekršaja-uključujući sve potrebne izmjene svojeg programa za sprječavanje i otkrivanje kršenja zakona.
179
Preporuke za rad
• Organizacija bi na primjeren način trebala odgovoriti na svaki prekršaj koji je otkriven programom usklađivanja. Primjereni odgovori uključuju disciplinsku akciju koja se poduzima u odnosu na one koji su uključeni u kažnjivo ponašanje.
• U nekim okolnostima primjeren odgovor može zahtijevati samostalnu prijavu kršenja vladi, suradnju s vladinim istragama i prihvaćanje odgovornosti za kršenje. Treba napomenuti da, slično kao što postoji djelotvorni program za usklađivanje, ovi odgovori bi mogli rezultirati smanjenjem novčane kazne za organizaciju od strane suda.
• Ozbiljno kršenja zakona koje nije uočeno ili spriječeno moglo bi biti naznaka da program usklađivanja treba dobro preispitati. Nakon otkrivanja prekršaja osoblje za usklađivanje bi trebalo barem pregledati program kako bi utvrdilo treba li napraviti promjene.
• S obzirom na kršenje, promjena koja će vjerojatno biti potrebna može biti zamjena ili reorganizacija osoblja za usklađivanje. Zapravo, organizacija bi mogla disciplinirati ili zamijeniti svakog rukovoditelja koji nije primijetio ili spriječio kršenje dužnosti u područjima pod nadzorom upravitelja, posebice ako je prekršaj takav kakvog je rukovoditelj trebao primijetiti.
180
Okvir profesionalnog djelovanja
Preporuka za rad 2100-6:Implikacije kontrole i revizije pri
aktivnostima e-trgovine
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Rast e-trgovine nastavlja se brzim korakom, i za aplikacije posao do posla i posao do korisnika. Djelotvorne kontrole i procesi ključni su za uspješan razvoj i implementaciju strategije e-trgovine. Stoga nastojanje djelotvorne procjene e-trgovine treba biti ključan dio godišnjeg plana revizije za mnoge tvrtke. Ove preporuke za rad daju pregled kontrola i implikacija za reviziju. Dodatni resursi za praktičare su: IIA-ov proizvod Uvjerenje sustava i kontrola (SAC) i drugi izvještaji o tehnologiji i objave ISACA. Oba su razvili smjernice i kriterije procjene elektronskih sustava i modela.
1. Elektronička trgovina (e-trgovina) općenito se definira kao ‘’izvršavanje komercijalnih aktivnosti preko interneta.’’ Ove komercijalne aktivnosti mogu biti posao do posla (B2B) i posao do korisnika (B2C) i posao do zaposlenika (B2E).
Rast e-trgovine bio je dramatičan, a očekuje se da će rasti još brže u godinama koje dolaze. Aktualna objava istraživačke zaklade IIA-a, Uvjerenje sustava i kontrola (SAC), te uspjeh www.ITAudit.org temeljenog na internetu te različitih e-mail biltena IIA-a potvrđuje da tehnologija ne samo da daje podršku strategiji e-trgovine, već je sastavni dio. Promjene temeljene na internetu i drugim tehnologijama imaju dramatičan utjecaj na društvo, upravljanje, gospodarstvo, konkurenciju, tržišta, organizacijsku strukturu i nacionalnu obranu. Jasno, ove promjene i dramatičan rast e-trgovine stvorile su velike izazove kontrole i upravljanja koje trebaju razmotriti interni revizori pri razvoju i implementiranju svojih planova revizije.
Razumijevanje i planiranje angažmana e-trgovine
2. Stalne tehnološke promjene otvaraju struci interne revizije velike mogućnosti i rizike. Prije pokušaja davanja uvjerenja o sustavima i procesima, interni revizor trebao bi razumjeti promjene u informacijskim i poslovnim sustavima, povezane rizike, te poklapanje strategija s oblikom poduzeća i zahtjevima tržišta. Interni revizor trebao
181
Preporuke za rad
bi izvršiti pregled strateškog planiranja uprave i procesa procjene rizika te odluka o sljedećem: • Koji su rizici ozbiljni?• Koje se rizike može osigurati?• Koje aktualne kontrole će ublažiti rizike?• Koje su dodatne kompenzirajuće kontrole potrebne?• Koja vrsta praćenja je potrebna?
3. Glavne značajke revizije aktivnosti e-trgovine su sljedeće: • procijeniti strukturu interne kontrole, uključujući smjer koji diktira viši
menadžment,• pružiti razumno uvjerenje da se mogu postići svrha i ciljevi• odrediti jesu li rizici prihvatljivi• razumjeti protok informacija• revidirati probleme sučelja (hardver do hardvera, softver do softvera i hardver do
softvera) i• procijeniti poslovni kontinuitet i planove oporavka od katastrofe.
4. U obavljanju angažmana kod e-trgovine dužnost je glavnog revizora brinuti o kompetentnosti i sposobnosti interne revizije. Između ostalog, mogući čimbenici koji bi mogli predstavljati prepreku internoj reviziji su sljedeći:• Ima li aktivnost interne revizije dovoljne vještine? Ako ne, mogu li se te vještine
naučiti?• Je li potrebna obuka ili drugi resursi?• Je li razina popunjenosti osobljem kratkoročno i dugoročno dovoljna?• Može li očekivani plan revizije biti realiziran?
5. Pitanja internog revizora tijekom procjene. Publikacija IIA-a, SAC, može pomoći internom revizoru u planiranju revizije i procjeni rizika. Uključuje listu područja e-trgovine koja bi trebala biti od interesa internom revizoru koji poduzima angažman i procjenu rizika. Pitanje koje moraju razmotriti interni revizori je: • Postoji li poslovni plan za projekt ili program e-trgovine?• Pokriva li plan integraciju planiranja, dizajna i implementacije sustava e-trgovine
sa strategijama organizacije?• Koji će biti utjecaj na učinak, sigurnost, pouzdanost i dostupnost sustava?• Hoće li funkcionalnost zadovoljiti potrebe krajnjeg korisnika (npr. zaposlenika,
klijenata, poslovnih partnera) kao i ciljeve uprave?• Jesu li uvjeti vlade i propisi analizirani i uzeti u obzir?• Koliko je siguran hardver i softver i hoće li se spriječiti ili otkriti neovlašteni
pristup, neprimjereno korištenje i druge štetne efekte i gubitke?• Hoće li obrada transakcija biti aktualna, točna, cjelovita i nesporna?• Dopušta li kontrolno okruženje organizaciji da postigne svoje ciljeve e-trgovine
kada se kreće od koncepcija do rezultata?• Uključuje li procjena rizika interne i vanjske sile?
182
Okvir profesionalnog djelovanja
• Je li započelo bavljenje prisutnim rizicima povezanima s internetom i ponuđačem interneta (kao što je pouzdanost temeljnih komunikacija, ovlaštenje korisnika, te tko ima pristup)?
• Je li započeto bavljenje drugim problemima (na primjer, objavljivanje povjerljivih poslovnih informacija, zloporaba intelektualnog vlasništva, kršenje autorskih prava, povrjeda zaštitnog znaka, kleveta na internetskim stranicama, prijevara, zloporaba elektroničkih potpisa, povrede privatnosti i povreda ugleda)?
• Ako se koriste vanjski prodavatelji, je li provedena procjena trajnog poslovanja od strane trećih kojima se vjerujete i koji su ovlašteni za certifikaciju prodavatelja?
• Ako prodavatelji pružaju usluge hostinga, imaju li testirani plan poslovne kontingencije? Jesi li pružili aktualno izvješće SAS-70 (izvješća SAS-70 mogu ponuditi vrijedne informacije o internim kontrolama korisničkim organizacijama)?
• Također, jesu li riješena pitanja privatnosti?• Uključuje li ugovor prava na reviziju?
Rizici e-trgovine i problemi kontrole
6. Rizik e-trgovine i okolina kontrole su komplicirani i razvijaju se. Rizik se može definirati kao nesigurnost događaja koji će se dogoditi, a koji bi mogao imati negativan utjecaj na postizanje ciljeva. Rizik je prisutan u svakom poslu ili vladinom subjektu. Rizici mogućnosti koje preuzima uprava često potiču organizacijske aktivnosti. Osim ovih mogućnosti, mogu postojati prijetnje i druge opasnosti koje se ne razumije jasno niti procjenjuje u potpunosti te ih se olako prihvaća kao dio poslovanja. U pokušaju upravljanja rizikom, ključno je razumjeti elemente rizika. Također je važno biti svjestan novih prijetnji i promjena u tehnologiji koje stvaraju nova ranjiva mjesta u sigurnosti informacija. U svrhu upravljanja, sedam ključnih pitanja u donjem tekstu može poslužiti za identificiranje organizacijskih rizika i usmjeravanje na potencijalne načine kontroliranja ili olakšavanja izloženosti. (Stručnjaci za rizike koriste mnogo različitih pristupa upravljanju rizikom; ova pitanja ilustriraju jedan pristup.) Elementi rizika povezani s pitanjima prikazani su u zagradama.(a) Identifikacija rizika i kvantifikacija
• Koji događaj bi mogao imati negativan utjecaj na sposobnost organizacije da postigne svoje ciljeve i izvrši svoju strategiju? [prijeteći događaji]• Ako se taj događaj ostvari, kakav je njegov potencijalni financijski utjecaj? [vrijednost izloženosti pojedinačnom gubitku]• Koliko često se takav događaj može dogoditi? [učestalost]• Koliko su vjerojatni odgovori na prva tri pitanja? [nesigurnost]
(a) upravljanje rizicima i olakšavanje • Što se može učiniti kako bi se izbjeglo, ublažilo i detektiralo rizike i pružilo
upozorenje? [zaštita i kontrole] • Koliko će to stajati? [zaštita i troškovi kontrole]
183
Preporuke za rad
• Koliko bi to bilo učinkovito? [analiza troškova i koristi ili analiza povrata ulaganja]
7. Neki od važnijih rizika i problema kontrole kojima se mora pozabaviti interni revizor su:• općeniti rizici upravljanja projektom• određene prijetnje sigurnosti, kao što su odbijanje usluge, fizički napadi, virusi,
krađa identiteta i neovlašteni pristup ili objavljivanje podataka• održavanje integriteta transakcije pod kompleksnom mrežom poveznica na
sustavima nasljeđivanja i skladištima podataka• pregled sadržaja web stranice i potvrda u slučaju čestih promjena i profinjenih
elemenata za korisnike i sposobnosti koje nude uslugu 24 sata na dan• brze promjene tehnologije• pravna pitanja, kao što su rastući propisi diljem svijeta kojima se želi zaštititi
privatnost pojedinca; provedivost ugovora izvan države u kojoj se nalazi organizacija; te problemi oporezivanja i računovodstva
• promjene u okruženju poslovnog procesa i organizacijskih struktura.
Revizija aktivnosti e-trgovine
8. Cilj cjelokupne revizije trebao bi biti osiguranje svim procesima e-trgovine djelotvornih internih kontrola. Upravljanje inicijativama e-trgovine trebalo bi dokumentirati u strateškom planu koji je dobro razvijen i odobren. Ako postoji odluka da se ne sudjeluje u e-trgovini, ta odluka mora se pažljivo analizirati, dokumentirati i odobriti od strane upravnog odbora.
9. Ciljevi revizije za angažman e-trgovine mogu uključivati: • dokaze transakcije e-trgovine• dostupnost i pouzdanost sigurnosnog sustava• učinkovito sučeljavanje između e-trgovine i financijskih sustava• sigurnost novčanih transakcija• učinkovitost procesa ovlaštenja klijenta• adekvatnost procesa poslovnog kontinuiteta, uključujući nastavak poslovanja• usklađenost sa zajedničkim sigurnosnim standardima• učinkovito korištenje i kontrola digitalnih potpisa• adekvatnost sustava, mjere i postupci za kontrolu certifikata javnih ključeva
(koristeći kriptografske tehnike javnog ključa)• adekvatnost i pravovremenost upravljanja podacima i informacijama• dokumentirani dokazi o učinkovitom sustavu interne kontrole.
10. Detalji programa revizije koji se koriste za revidiranje aktivnosti e-trgovine u određenim organizacijama varirat će ovisno o sektoru, zemlji i pravnim i poslovnim
184
Okvir profesionalnog djelovanja
modelima. Slijedi pregled mogućih protokola revizije e-trgovine za ključna područja.a) Organizacija e-trgovine - interni revizor bi trebao raditi sljedeće:
• odrediti vrijednost transakcija• identificirati dioničare (vanjske i interne)• revidirati proces promjene uprave• revidirati proces odobravanja• revidirati poslovni plan za aktivnosti e-trgovine• procijeniti mjere preko certifikata javnih ključeva • revidirati postupke digitalnog potpisivanja• ispitati sporazume o razini kvalitete usluga između kupca, dobavljača i tijela za ovlašćivanje• utvrditi politiku osiguranja kvalitete• procijeniti politiku privatnosti i sukladnosti u aktivnostima e-trgovine• procijeniti sposobnost odgovora na incidente.
b) Prijevara - interni revizor bi trebao paziti na sljedeće uvjete:• neovlašteno kretanje novca (npr. prijenosi na nadležnost gdje bi oporavak sredstava bio težak)• udvostručavanje isplata• negiranje narudžaba koje su poslane ili dobivene, dobivenih dobara ili uplata• izvješća o izuzetnim situacijama i povezane procedure te učinkovitost praćenja.• digitalni potpisi: koriste li se za sve transakcije? Tko ih odobrava? Tko im ima pristup?• zaštita protiv virusa i aktivnosti hakera (datoteka o povijesti, korištenje alata)• prava pristupa: revidira li ih se redovito? Mijenja li ih se odmah kada se promijene članovi osoblja?• povijest presretanja transakcija od neovlaštenih osoba.
c) Ovlaštenje - interni revizor trebao bi revidirati mjere za ovlaštenje transakcija i procjenu kontrola:• dokaz o redovitim revizijama • alati kontrolne samoprocjene (CSA) koje koristi uprava• redoviti neovisni pregledi• razdvajanje dužnosti• alati koje bi uprava trebala primjenjivati: vatrozide (višerazinske za razdiobu e-trgovine i druge aktivnosti), upravljanje zaporkama, neovisno usklađivanje i kontrola knjiženja
d) Korupcija - interni revizor bi trebao procijeniti kontrole integriteta podataka• Tko može mijenjati kataloge i cijene ili stope? Koji je mehanizam odobrenja?• Može li netko uništiti kontrolu knjiženja?• Tko može odobriti izmjene i dopune oglasne ploče?
185
Preporuke za rad
• Koji su postupci za naručivanje i snimanje?• Postoji li u procesu prijave na natječaj preko interneta adekvatna dokumentacija?• Alati koje treba primjenjivati uključuju: upravljanje nedopuštenim ulazom (softver praćenja, automatski prekid i analiza trendova), fizička sigurnost za servere e-trgovine, kontrole promjene i usklađivanje.
e) Prekidi poslovanja: interni revizor bi trebao revidirati poslovni plan kontinuiteta i odrediti je li on testiran. Uprava je trebala osmisliti alternativna sredstva kako bi obradila transakciju u slučaju prekida. Uprava bi trebala imati implementiran proces kako bi se nosila sa sljedećim potencijalnim uvjetima:• napadi na veličinu• negiranje napada na uslugu • nedoraslost u sučelju među e-trgovine i sustava financijskog upravljanja• objekti za sigurnosne kopije• strategija za borbu protiv: hakera, upada, krekiranja, virusa, crva, trojanaca i stražnjih vrata.
f) Problemi uprave: interni revizor trebao bi procijeniti upravljaju li poslovne jedinice dobro procesom e-trgovine. Sljedeće su neke srodne teme:• revizija upravljanja projektom za individualne inicijative i projekte razvoja• revizija životnog ciklusa razvoja sustava• izbor prodavatelja, sposobnosti prodavatelja, povjerljivost i povezivanje• gospodarska revizija nakon implementacije: jesu li postignuti dobitci? Koji se sustav koristi za mjerenje uspjeha? • Revizije postimplementacijskog procesa: jesu li novi procesi implementirani i rade li učinkovito?
186
Okvir profesionalnog djelovanja
Preporuka za rad 2100-7:Uloga interne revizije u prepoznavanju
i prijavi rizika za okoliš
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Svrha ovih preporuka za rad je pružiti smjernice organizacijama za internu reviziju o rizicima i pitanjima neovisnosti povezanima s aktivnostima ekološke revizije. Interni revizori bi trebali obratiti pozornost na potencijalne rizike koji mogu proizlaziti iz organizacijskog pozicioniranja i prijave povezanosti revizora okoliša. Ove preporuke za rad predlažu minimalnu zaštitu kako bi se osiguralo da se važna pitanja ekologije prijavljuju pravovremeno i na primjerenoj razini. Rizici povezani s nepoštivanjem okoliša, kazne i globe te drugo nesavjesno poslovanje mogu rezultirati značajnim gubicima za organizaciju.
Potencijalni rizici
1. Glavni revizor trebao bi uključiti rizike okoliša, zdravlja i sigurnosti (EH&S) u svaku procjenu upravljanja rizicima na mnoštvu subjekata te procijeniti aktivnosti na uravnotežen način u odnosu na druge tipove rizika povezane s poslovanjem subjekta. Među izlaganjima riziku koje treba procijeniti su: strukture prijave organizacije, vjerojatnost uzrokovanja štete za okoliš, kazne i globe, izdaci koje je odredila Agencija za zaštitu okoliša (EPA) ili druge vladine organizacije; povijest povrjeda i smrti; podaci o gubitku klijenata te epizode negativnog publiciteta i gubitka javne slike i ugleda.
2. Ako glavni revizor utvrdi kako upravljanje rizicima EH&S većinom ovisi o funkcijama ekološke revizije, glavni revizor treba razmotriti implikacije organizacijske strukture i njenih utjecaja na poslovanje i mehanizme izvještavanja. Ako glavni revizor smatra da se izlaganjem ne upravlja adekvatno te da postoje preostali rizici, zaključak bi obično rezultirao promjenama plana angažmana aktivnosti interne revizije i daljnjom istragom.
187
Preporuke za rad
3. Većina funkcija revizije okoliša izvještava odjel za ekologiju svoje organizacije ili općeg savjetnika, ne glavnog revizora. Tipični modeli za ekološku reviziju spadaju u jedan od sljedećih scenarija: • glavni revizor i glavni šef revizije okoliša su u odvojenim funkcionalnim
jedinicama s malo međusobnog kontakta• glavni revizor i glavni šef revizije okoliša su u odvojenim funkcionalnim
jedinicama i koordiniraju svoje aktivnosti• glavni revizor ima dužnost vršiti reviziju problema okoliša.
4. Prema sažetom izvješću IIA-e o problemima revizije okoliša:• otprilike polovica revizora okoliša rijetko se sastaje s odborom upravljačkog
tijela te ih samo 40 posto ima neki kontakt s glavnim revizorom• sedamdeset posto organizacija izvijestilo je da se problemi ekologije ne uključuju
redovito na dnevni red upravljačkog tijela• oko 40 posto organizacija je izvijestilo da su platili kazne ili globe za povrjedu
okoliša u zadnje tri godine; dvije trećine upitanih opisalo je ekološke rizike značajnima.
5. Okrugli stol revizije usklađenosti s propisima o zaštiti okoliša, zdravlja i sigurnosti (novo ime je okrugli stol za reviziju) angažirao je Richarda L. Ratliffa sa sveučilišta Utah State, kao i grupu istraživača da provedu studiju revizije okoliša, zdravlja i sigurnosti. Nalazi istražitelja povezani s rizikom i problemima nezavisnosti su sljedeći: • Funkcija revizije EH&S je donekle izolirana od drugih aktivnosti revizije
organizacije. Organizirana je odvojeno od interne revizije, samo dodiruje vanjsku reviziju i financijska izvješća, a podnosi izvještaje izvršnom direktoru za EH&S, radije nego upravnom odboru ili višem menadžmentu. Ova struktura pretpostavlja da uprava vjeruje kako je revizija EH&S tehničko polje koje je najbolje smjestiti unutar funkcije EH&S u organizaciji.
• S tim smještanjem organizacije, revizori EH&S možda neće moći zadržati svoju neovisnost, koja se smatra jednim od glavnih uvjeta djelotvorne funkcije revizije. Upravitelji EH&S revizije obično izvještavaju administrativno izvršnim direktorima koji su odgovorni za reviziju fizičkih objekata. Stoga se loš učinak EH&S može negativno odraziti na upravljački tim za objekte, koji bi stoga pokušali uspostaviti svoj autoritet i utjecaj nad onim o čemu se izvještava u nalazima revizije, kako se provode revizije ili što se uključuje u planu revizije. Ovo potencijalno podređivanje profesionalnog suda revizora, čak i kad se samo čini takvim, krši neovisnost revizora i objektivnost.
• Također je uobičajeno da se pismeni revizorski izvještaji u organizaciji ne dijele na viši položaj od izvršnih direktora za okoliš. Ti direktori mogu imati potencijalni konflikt interesa te mogu smanjiti daljnju distribuciju revizorskog nalaza EH&S na viši menadžment i upravljačko tijelo.
• Informacije o reviziji često se klasificiraju kao ili (a) tajnost informacija odvjetnik-klijent ili radni materijal odvjetnika (b) tajno i povjerljivo ili (c) ako ne povjerljivo,
188
Okvir profesionalnog djelovanja
onda s ograničenim pristupom. Ovo rezultira ozbiljnim ograničavanjem pristupa informacijama revizije EH&S.
Prijedlozi za glavnog revizora
6. Glavni revizor bi trebao promicati bliski radni odnos sa šefom revizije okoliša te koordinirati aktivnosti s planom za reviziju okoliša. U primjerima kada funkcija za reviziju okoliša izvještava nekoga tko nije glavni revizor, glavni revizor bi trebao ponuditi pregled plana revizije i učinak angažmana. Glavni revizor bi povremeno trebao odrediti datum pregleda osiguranja kvalitete za funkciju revizije okoliša, ukoliko je organizacijski neovisno o aktivnosti interne revizije. Pregledom bi se trebalo odrediti rješavaju li se rizici za okoliš adekvatno. Program revizije EH&S mogao bi biti ili (a) usmjeren na usklađivanje (tj. potvrda usklađenosti sa zakonima, propisima i vlastitim mjerama subjekta EH&S, postupcima i ciljevima učinka) ili (b) usmjeren na upravljačke sustave (tj. dajući procjenu upravljačkih sustava s ciljem osiguravanja usklađenosti s pravnim i internim zahtjevima i ublažavanjem rizika) ili (c) kombinacija obaju pristupa.
7. Glavni revizor bi trebao procijeniti djeluju li revizori za okoliš koji nisu dio organizacije glavnog revizora u skladu s priznatim profesionalnim standardima revizije i priznatim etičkim kodeksom. Odbor za certifikaciju revizora za okoliš, zdravlje i sigurnost kao i IIA objavljuju standarde prakse i etičke kodekse.
8. Glavni revizor bi trebao procijeniti organizacijski plasman i neovisnost funkcija revizije okoliša kako bi osigurao izvještavanje o značajnim problemima koji proizlaze iz ozbiljnih rizika za poduzeće, i to prema zapovjednom lancu revizoru ili drugom odboru upravljačkog tijela. Glavni revizor bi također trebao olakšati izvještavanje o važnim pitanjima EH&S rizika i kontrole odboru za reviziju (ili drugom odboru).
189
Preporuke za rad
Preporuka za rad 2100-8:Uloga interne revizije u procjeni
okvira zaštite privatnosti organizacije
Tumačenje standarda 2100 iz Međunarodnih standarda za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi procijeniti i doprinijeti poboljšanju upravljanja rizicima, kontroli i procesima korporativnog upravljanja koristeći se sustavnim i discipliniranim pristupom.
Priroda ovih preporuka za rad: Interni revizori trebali bi razmotriti sljedeće prijedloge pri procjeni aktivnosti organizacije koji se odnose na njen okvir privatnosti. Ove smjernice nisu namijenjene predočavanju svih potrebnih postupaka za cjelovito uvjerenje ili konzultacijski angažman koji je povezan s okvirom privatnosti, već preporučenu temeljnu grupu visokih odgovornosti revizora kako bi se nadopunilo povezane odgovornosti odbora i uprave.
1. Bojazni povezane sa zaštitom osobne privatnosti postaju sve očitije, usmjerenije i globalnije kako napredci u informatici i komunikacijama kontinuirano uvode nove rizike i prijetnje privatnosti. Kontrole privatnosti predstavljaju zakonske zahtjeve za poslovanje u većini svijeta.
2. Definicije privatnosti mogu dosta varirati ovisno o zemlji, kulturi, političkom okruženju i pravnim okvirima. Privatnost može uključivati osobnu privatnost (fizičku i psihološku); privatnost prostora (sloboda od nadzora); privatnost komunikacije (sloboda od praćenja); i privatnost informacija (skupljanje, korištenje i objavljivanje osobnih informacija od strane ostalih). Osobne informacije općenito se odnose na informacije koje se mogu povezati s određenim pojedincem ili koje imaju karakteristike prepoznavanja koje se mogu kombinirati s drugim informacijama u tu svrhu.4 Može uključivati bilo koju činjeničnu ili subjektivnu informaciju, zabilježenu ili ne, u bilo kojem obliku ili mediju. Osobne informacije mogu uključivati na primjer:• ime, adresu, identifikacijske brojeve, dohodak ili krvnu grupu• procjene, komentare, socijalni status ili disciplinske akcije • dosjee zaposlenika, podatke o kreditima i zajmovima.
4 Hargraves, Kim, Susan, B.Lione, Kerry L.Shackelford i Peter C. Tilton, Privatnost: Procjena rizika (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation), 2003.
190
Okvir profesionalnog djelovanja
3. Privatnost je problem upravljanja rizicima. Nemogućnost zaštite privatnih i osobnih informacija s odgovarajućim kontrolama može imati ozbiljne posljedice za organizaciju. Na primjer, može oštetiti ugled pojedinaca i organizacije, dovesti do problema pravne odgovornosti te doprinijeti nepovjerenju klijenata i zaposlenika.
4. Postoji mnogo zakona i propisa koji se razvijaju diljem svijeta, a odnose se na zaštitu osobnih informacija. Također postoje općenito prihvaćene mjere i načini koji se mogu primjenjivati na problem privatnosti.
5. Jasno je da dobra praksa privatnosti doprinosi dobrom upravljanju i odgovornosti. Upravno tijelo (npr. upravni odbor, šef agencije ili zakonodavnog tijela) ima krajnju odgovornost osigurati prepoznavanje glavnih rizika organizacije te implementaciju odgovarajućih sustava i ublažavanje tih rizika. Ovo uključuje osnivanje potrebnog okvira privatnosti za organizaciju i nadgledanje njene implementacije.
6. Interni revizori mogu doprinijeti osiguravanju dobrog upravljanja i odgovornosti obavljajući ulogu u pružanju pomoći organizaciji da udovolji ciljevima. Interni revizor ima jedinstven položaj da procijeni okvir privatnosti u svojoj organizaciji te prepozna značajne rizike zajedno s odgovarajućim preporukama za njihovo ublažavanje.
7. U provođenju takve procjene okvira privatnosti, interni revizor bi trebao uzeti u obzir sljedeće:• različiti zakoni, propisi i mjere koje se odnose na privatnost u pojedinačnim
nadležnostima (uključujući svaku nadležnost gdje organizacija posluje)• suradnja s pravnim savjetnikom unutar kuće kako bi se odredila točna priroda
takvih zakona, propisa, i drugih standarda i praksa koje se primjenjuju na organizaciju i na zemlju ili zemlje u kojima se posluje
• suradnja s informatičkim stručnjacima kako bi se osigurala sigurnost informacija i uvedene kontrole zaštite podataka te redoviti pregledi i procjene prikladnosti
• razina zrelosti prakse organizacije; ovisno o razini, interni revizor može imati različite uloge - revizor može olakšati razvoj i implementaciju programa privatnosti, provoditi procjenu rizika za privatnost kako bi se odredile potrebe i izloženost rizicima organizacije, ili može pregledati i dati uvjerenje o učinkovitosti mjera za privatnost, praksa i kontrola u cijeloj organizaciji. Ako interni revizor preuzme dio odgovornosti za razvoj i implementaciju programa privatnosti, može se umanjiti neovisnost revizora.
8. Uobičajeno je očekivanje od internog revizora da prepozna tipove i prikladnost informacija koje prikuplja njegova organizacija, koje se smatraju osobnim ili privatnim, korištenu metodologiju prikupljanja te je li korištenje informacija koje su prikupljene na taj način od strane organizacije u skladu s ciljem korištenja i zakonima, u područjima na kojima se informacija sakuplja, drži i koristi.
191
Preporuke za rad
9. S obzirom na visoko tehnološku i pravnu prirodu teme, interni revizor trebao bi osigurati dostupnost odgovarajućeg detaljnog znanja i kapaciteta za provođenje takve procjena okvira privatnosti, koristeći stručnjake treće strane ukoliko je to potrebno.
192
Okvir profesionalnog djelovanja
Preporuka za rad 2100-9:Revizija aplikacijskih sustava
Tumačenje Standarda 2100 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2100 – Priroda poslaInternom revizijom se ocjenjuje i doprinosi poboljšanju upravljanja rizicima te poboljšanju sustava kontrole i korporativnog upravljanja.
Ova Preporuka za rad usvojena je iz smjernice Smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA) pod nazivom - Revizija aplikacijskih sustava, dokument G14. ISACA je u studenom 2001. godine izdala tu smjernicu za reviziju informacijskog sustava (IS). Uporaba i usvajanje tog dokumenta provedeno je po odobrenju i priznanju ISACA-e. Za dijelove iz ove Preporuke za rad, koji se na bilo koji način razlikuju od Smjernice/Procedure koju je izdala ISACA, ISACA ne jamči za točnost tih izmjena niti daje potvrdu za iste.
Priroda ove preporuke za rad: : Interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom revizije aplikacijskih sustava. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni za sveobuhvatno osiguranje ili konzultacijski angažman vezano uz reviziju aplikacijskog sustava, nego preporučeni niz važnih odgovornosti revizora kako bi se upotpunili napori detaljnog planiranja revizije. Usklađenost s Preporukama za rad nije obavezna..
1. Glavni revizor mora utvrditi kako interna revizija posjeduje ili ima pristup neovisnim5 i mjerodavnim revizorskim izvorima za provedbu revizije aplikacijskih sustava i vrednovanje povezanih izlaganja riziku.
Razmatranja planiranja
2. Sastavni dio planiranja je razumijevanje okoline informacijskog sustava u mjeri koja je dostatna da bi revizor odredio veličinu i složenost sustava te stupanj ovisnosti organizacije o informacijskim sustavima. Revizor mora razumjeti misiju organizacije i ciljeve poslovanja, razinu i način na koji se koristi informacijska tehnologija i sustavi u svrhu podrške organizacije, te koji su rizici i izlaganja vezani uz ciljeve organizacije
5 Neovisnost - tj. ako revizor nije uključen u razvoj, akviziciju, provedbu ili održavanje aplikacijskog sustava.
193
Preporuke za rad
i njezine informacijske sustave. Isto tako, mora razumjeti organizacijsku strukturu, uključujući uloge i odgovornosti ključnog osoblja odgovornog za informacijske sustave (IS) i vlasnika poslovnog procesa aplikacijskog sustava. Prilikom planiranja revizije također treba uzeti u obzir rizike unutar poslovnih područja.
Primarni cilj planiranja je određivanje rizika vezanih uz aplikacijsku razinu. Relativna razina rizika utječe na razinu potrebnih dokaza za reviziju. Rizici razine aplikacije na sustavnoj i podatkovnoj razini uključuju sljedeće:
• rizike dostupnosti sustava vezano uz nedostatak operativne sposobnosti sustava• rizike obzirom na sigurnost sustava, koji su povezani s neovlaštenim pristupom
sustavu i/ili podacima• rizike obzirom na cjelovitost sustava, koji su povezani s nepotpunom, netočnom,
nepravovremenom ili neovlaštenom obradom podataka• rizike obzirom na mogućnost održavanja sustava, koju su povezani s
nesposobnošću za ažuriranjem sustava kada je to potrebno na način da se i dalje osigurava dostupnost, sigurnost i cjelovitost sustava
• rizike obzirom na podatke, koji su povezani s njihovom potpunošću, cjelovitošću, povjerljivošću, privatnošću, točnošću i pravovremenošću.
Aplikacijski upravljački elementi koji će se baviti rizicima na aplikacijskoj razini, mogu biti u obliku kompjuteriziranih kontrola ugrađenih u sustav ili kontrola kojima se ručno upravlja, ili pak može biti kombinacija obiju vrsta kontrola. Primjeri uključuju kompjuterizirano usklađivanje dokumenata (nalog za nabavu, faktura i izvještaj o zaprimljenoj robi), provjeru i potpisivanje kompjuterski izrađenih čekova, te kontrolu izvještaja o iznimkama od strane višeg menadžmenta.
Ako se donese odluka da će se oslanjati na programirane kontrole, treba svakako uzeti u obzir relevantne kontrole opće informacijske tehnologije (IT), kao i one koje su specifično relevantne za predmet revizije. Opće IT kontrole mogu biti predmet zasebne kontrole, koja bi uključivala sljedeće: fizičke kontrole, razinu sigurnosti sustava, mrežni menadžment, podatkovnu podršku te planiranje za slučaj nužde. Ovisno o kontrolnim ciljevima revizije, revizor možda neće imati potrebu revidirati opće kontrole, npr. u slučaju kada se vrši procjena aplikacijskog sustava za nabavu.
Revizija aplikacijskog sustava može se provoditi kada se obavlja procjena paketa aplikacijskog sustava za nabavu, prije nego što se počne s proizvodnjom aplikacijskog sustava (prije implementacije) te nakon što se počne s proizvodnjom aplikacijskog sustava (poslije implementacije). Opseg revizije aplikacijskog sustava prije implementacije uključuje arhitekturu sigurnosti na razini aplikacije, planove za provedbu sigurnosti, adekvatnost sustava i korisničku dokumentaciju, kao i adekvatnost stvarnog ili planiranog testiranja prihvaćanja od strane korisnika. Opseg revizije aplikacijskog sustava poslije implementacije uključuje sigurnosti na razini aplikacije poslije implementacije te može
194
Okvir profesionalnog djelovanja
pokrivati konverziju sustava ukoliko dođe do prijenosa podataka i informacija iz glavne datoteke iz starog u novi sustav.
Ciljevi i opseg revizije aplikacijskih sustava obično čine dio plana rada. Oblik i sadržaj plana rada može varirati, ali svakako mora uključivati sljedeće:
• ciljeve i opseg revizije aplikacijskih sustava• revizora(e), koji obavlja(ju) reviziju• izjavu o neovisnosti revizora na projektu• kada će početi revizija i vremenski okvir revizije• dogovore u vezi izvještavanja, uključujući zaključni sastanak• ciljevi moraju biti razvijeni tako da se odnose na 7 kriterija o informacijama u skladu
s COBIT-om (Control of Objectives of IT and Related Technology) te ih organizacija mora odobriti. Kriteriji za informacije prema COBIT-u mogu uključivati sljedeće: učinkovitost, djelotvornost, povjerljivost, cjelovitost, dostupnost, sukladnost i pouzdanost informacija.
Ako je revizor prethodno bio uključen u razvoj, nabavu, primjenu ili održavanje aplikacijskog sustava, a imenovan je za provođenje revizije, neovisnost revizora može biti narušena. Revizor mora konzultirati odgovarajuće smjernice kako bi se riješio takav slučaj.
Provedba revizije
3. a) Dokumentiranje tijeka transakcija
Prikupljene informacije moraju uključivati i kompjuterizirane i manualne aspekte sustava. Naglasak bi trebao biti na unosu podataka (bilo elektroničkom bilo ručnom), obradi, pohrani i izlazu podataka, koji su značajni za ciljeve revizije. Revizor može smatrati, ovisno o poslovnim procesima i uporabi tehnologije, da dokumentiranje tijeka transakcija nije praktično. U tom slučaju revizor mora pripremiti dijagram protoka podataka na visokoj razini ili opis i/ili iskoristiti dokumentaciju sustava, ako je ona osigurana.
Treba promisliti i o dokumentiranju aplikacijskih sučelja s drugim sustavima. Revizor mora potvrditi dokumentaciju provodeći procedure, poput testiranja obilaskom.
b) Identificiranje i testiranje kontrola aplikacijskog sustava
Specifične kontrole za ublažavanje aplikacijskih rizika mogu biti utvrđeni i dostatni revizijski dokazi kako bi se revizor uvjerio da kontrole rade kako je predviđeno. To se može postići procedurama kao što su ispitivanje i promatranje, pregled dokumentacije te testiranje kontrola aplikacijskog sustava, pri čemu se testiraju programirane kontrole (treba uzeti u obzir uporabu CAAT-a).
195
Preporuke za rad
Priroda, vrijeme i opseg testiranja trebaju se temeljiti na razini rizika područja koje se revidira i ciljevima revizije. Ako ne postoje jake opće informatički kontrole, revizor može napraviti procjenu učinka tog nedostatka na pouzdanost kompjuteriziranih aplikacijskih kontrola. Ako revizor IS-a pronađe značajni nedostatak na kompjuteriziranim aplikacijskim kontrolama, mora se priskrbiti osiguranje (ovisno o cilju revizije), po mogućnosti, od kontrola obrade koje se provode ručno.
Učinkovitost kompjuteriziranih kontrola ovisi o jakim općim IT kontrolama. Stoga, ako se ne revidiraju opće IT kontrole, mogućnost oslanjanja na aplikacijske kontrole može biti znatno ograničena te revizor mora razmisliti o alternativnim procedurama.
Izvještavanje
4. Obavještavanje o rezultatima rada na aplikacijskim sustavima mora jasno opisivati prirodu rada i svako ograničenje, restrikciju ili neke druge čimbenike kojih bi korisnici informacija trebali biti svjesni. Revizor u svom izvještaju mora dati odgovarajuće preporuke za poboljšanje kontrola.
Nedostaci otkriveni prilikom revizije aplikacija zbog nepostojanja kontrola ili neizvršenja, trebaju se priopćiti vlasniku poslovnog procesa i menadžmentu IS-a, koji je odgovoran za podršku aplikacije. Ako se nedostaci, otkriveni tijekom revizije aplikacijskih sustava, smatraju značajnima ili vrlo važnima, prikladnoj razini menadžmenta treba savjetovati poduzimanje trenutnih korektivnih mjera.Budući da učinkovite kompjuterizirane aplikacijske kontrole ovise o općim IT kontrolama, također treba izvijestiti i o nedostacima na tom području. Ako opće IT kontrole nisu bile revidirane, tu činjenicu treba uključiti u izvještaj.
196
Okvir profesionalnog djelovanja
Preporuka za rad 2100-10:Uzimanje uzoraka revizije
Tumačenje Standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.
Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- uzimanje uzoraka revizije, dokument G10. Ove smjernice za informacijske sustave objavljenje su u ožujku 2000. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koje je izdala ISACA, ISACA ne jamči za točnost niti prihvaća te promjene.
Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod korištenja tehnika uzimanja uzoraka revizije za testiranje. Namjera ovih smjernica nije predstaviti sve potrebne postupke za uzimanje uzoraka revizije, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.
I. Izvođenje rada revizije
Uzimanje uzorka revizije
Pri korištenju statističkih ili nestatističkih metoda uzoraka, revizor bi trebao osmisliti i izabrati uzorak revizije, izvršiti postupke revizije te vrednovati rezultate uzorka kako bi dobio dovoljan, pouzdan, relevantan i koristan dokaz revizije. Kod stvaranja mišljenja o reviziji, revizori često ne ispituju sve dostupne informacije budući da to može biti nepraktično te se valjani zaključci mogu postići korištenjem uzorka revizije.
Uzimanje uzorka revizije definira se kao primjena revizorskih postupaka na manje od 100 posto populacije kako bi se revizoru omogućilo vrednovanje dokaza revizije vezano za neke značajke stvari koje su odabrane da stvore ili pomognu pri stvaranju zaključaka o
197
Preporuke za rad
populaciji. Uzimanje statističkih uzoraka uključuje korištenje tehnika iz kojih se mogu izvoditi matematički stvoreni zaključci u vezi s populacijom.
Nestatističko uzimanje uzoraka nije statistički utemeljeno i rezultate ne bi trebalo proširivati izvan populacije budući da uzorak vjerojatno neće biti reprezentativan za populaciju.
Oblikovanje uzorka
Kada se oblikuje veličina i struktura uzorka revizije, revizori bi trebali uzeti u obzir određene ciljeve revizije, prirodu populacije te metode uzimanja uzoraka i selekcije. Revizor bi trebao razmotriti potrebu uključivanja odgovarajućih stručnjaka u oblikovanje i analizu uzoraka.
Jedinica za uzimanje uzoraka- jedinica za uzimanje uzoraka će ovisiti o svrsi uzorka. Za testiranje usklađenosti kontrola obično se koristi uzimanje uzoraka svojstava, gdje je jedinica za uzimanje uzoraka događaj ili transakcija (npr. kontrola kao što je ovlaštenje ili faktura). Za materijalno testiranje često se koristi varijabilno uzimanje uzoraka ili procjena, gdje je jedinica uzorka često novčana.
Ciljevi revizije-revizor bi trebao razmotriti određene ciljeve revizije koje treba postići te postupke revizije kojima će se vjerojatno postići ti ciljevi. Kad je uzimanje uzoraka revizije odgovarajuće, treba uzeti u obzir prirodu dokaza revizije koji se traže i moguće uvjete za pogrješke.
Populacija- populacija je cijeli niz podataka iz kojih revizor želi oblikovati uzorak kako bi došao do zaključaka o populaciji. Stoga podaci o populaciji iz kojih se izvodi uzorak moraju biti odgovarajući i njihova cjelovitost se mora potvrditi za određen cilj revizije.
Stratifikacija-kako bi pomogla u djelotvornom i učinkovitom oblikovanju uzorka, stratifikacija mora biti odgovarajuća. Stratifikacija je proces odvajanja populacije u podgrupe sa sličnim karakteristikama koje su izričito definirane tako da svaka jedinica uzorka može pripadati samo jednom sloju.
Veličina uzoraka-kada se određuje veličina uzorka, revizor bi trebao razmotriti rizik određivanja uzoraka, veličinu prihvatljive grješke te razmjer očekivanih grješaka.
Rizik uzimanja uzoraka-rizici uzimanja uzoraka proizlaze iz mogućnosti razlike između zaključaka revizora i zaključka koji se mogao donijeti u slučaju da je cijela populacija podvrgnuta istom postupku revizije. Postoje dva tipa rizika kod uzimanja uzorka:
• rizik od netočnog prihvaćanja-rizik da se lažna izjava koja je značajna procijeni kao nevjerojatna, dok je činjenica o populaciji zapravo bitno iskrivljena
• rizik netočnog odbijanja-rizik da se lažna izjava koja je značajna procijeni kao vjerojatna, dok činjenica o populaciji zapravo nije bitno iskrivljena.
198
Okvir profesionalnog djelovanja
Razina rizika uzimanja uzoraka koju je revizor voljan prihvatiti utječe na veličinu uzorka. Rizike uzimanja uzorka treba razmatrati u odnosu na revizorski model rizika i njegovih dijelova, postojećih rizika i rizika opažanja.
Prihvatljiva greška-prihvatljiva greška je najveća greška u populaciji koju su revizori spremni prihvatiti, a još uvijek zaključuju da je postignut cilj revizije. Za temeljne testove prihvatljiva greška se odnosi na sud revizora o važnosti. Kod testova usklađivanja to je najmanja stopa odstupanja koju je revizor voljan prihvatiti.
Očekivana greška-ako revizor očekuje da greške budu prisutne u populaciji, obično treba pregledati veći uzorak nego kada ne postoji očekivana greška kako bi se zaključilo da prava greška u populaciji nije veća nego planirana prihvatljiva greška. Manje veličine uzoraka opravdane su kada se očekuje da populacija bude bez greške. Kada se određuje očekivana greška u populaciji, revizor bi trebao razmotriti pitanja kao što su razine pogrešaka koje su prepoznate u prethodnim revizijama, promjene u organizacijskim postupcima i dostupne dokaze iz procjene interne kontrole te rezultate iz postupka analitičke revizije.
Izbor uzorka
Postoje četiri metode uzimanja uzoraka koje se obično upotrebljavaju:
Statističke metode uzimanja uzoraka
• Slučajan odabir uzoraka-osigurati da sve kombinacije jedinica uzoraka u populaciji imaju jednaku priliku za odabir
• Sustavan odabir uzoraka-uključuje odabir jedinica uzoraka koristeći fiksni interval između odabira, prvi interval s nasumičnim početkom. Među primjerima su uzimanje novčanih jedinica uzoraka ili odabir prema ponderiranoj vrijednosti kod kojeg se svakoj pojedinačnoj novčanoj vrijednosti (npr. 1$) u populaciji daje jednaka mogućnost odabira. Kako se pojedinačna novčana jedinica obično ne može pregledavati odvojeno, element koji uključuje tu novčanu jedinicu se odabire za pregled. Ovom se metodom sustavno ponderira odabir u korist većih iznosa, no svejedno daje svakoj novčanoj vrijednosti jednaku priliku za odabir. Drugi primjer uključuje odabir svake –te jedinice.
Nestatističke metode uzimanja uzoraka
• Uzimanje neplaniranih uzoraka -pri kojem revizor odabire uzorak, ne slijedeći strukturiranu tehniku, no izbjegavajući bilo kakvu svjesnu pristranost ili predvidljivost. Međutim, analiza neplaniranih uzoraka ne bi se trebala smatrati pouzdanom za donošenje zaključaka o populaciji.
199
Preporuke za rad
• Uzorak temeljem procjene-u kojem je revizor pristran prema uzorku (npr. sve jedinice uzoraka preko određene vrijednosti, sve za specifičan tip izuzetka, svi negativi, svi novi korisnici itd.). Treba napomenuti da uzorak temeljen na procjeni nije statistički utemeljen i da rezultate ne bi trebalo procijeniti izvan populacije budući da nije vjerojatno da je uzorak reprezentativan za populaciju.
Revizor bi trebao odabrati elemente uzorka tako da se od uzorka očekuje da bude reprezentativan za populaciju s obzirom na značajke koje se testiraju (odn. korištenje statističkih metoda uzimanja uzoraka). Kako bi se zadržala nezavisnost revizije, revizor bi trebao osigurati cjelovitost populacije i kontrolirati odabir uzorka.
Kako bi uzorak bio reprezentativan, sve jedinice uzoraka trebaju imati jednaku ili poznatu vjerojatnost izbora (odn. statističke metoda odabira uzoraka). Postoje dvije uobičajene metode odabira: odabir prema evidenciji i odabir na kvantitativnim poljima (npr. novčanim jedinicama).
Za odabir prema evidenciji, uobičajene su metode:• uzimanje slučajnih uzoraka (statistički uzorak)• uzimanje neplaniranih uzoraka (nestatistički).• uzorak temeljem procjene (nestatistički; velika vjerojatnost da dovede do zaključka
s predrasudom).
Za odabir kvantitativnim poljima, uobičajene su metode:• uzimanje slučajnih uzoraka (statistički uzorak ili novčane jedinice)• uzorak fiksnog intervala (statistički uzorak koji koristi fiksni interval)• matični uzorak (statistički uzorak koji koristi slučajni odabir u intervalu).
Dokumentacija
Radni papiri revizora trebali bi uključivati dovoljno detalja kako bi jasno opisali cilj uzimanja uzoraka i korišteni proces uzimanja uzoraka. Radni papiri trebali bi uključivati izvor populacije, korištenu metodu uzimanja uzoraka, parametre za uzorke (npr. slučajni početni brojevi, ili metoda kojom je dobiven nasumični početak, interval korištenja uzoraka), izabrane stavke, detalji o izvršenim testovima revizije i zaključci koji su postignuti.
Vrednovanje rezultata uzoraka
Nakon što su na svakoj jedinici uzorka izvedeni oni postupci koji su odgovarajući za određeni cilj revizije, revizor bi trebao analizirati sve moguće greške koje su otkrivene u uzorku kako bi se utvrdilo jesu li stvarno grješke i prema potrebi im odrediti prirodu i uzrok. Za one koje su procijenjene kao grješke, planirane grješke trebaju biti odgovarajuće populaciji ako je metoda uzimanja uzoraka koje je korištena temeljena na statistici.
200
Okvir profesionalnog djelovanja
Sve moguće greške koje su otkrivene treba pregledati kako bi se utvrdilo jesi li one to doista. Revizor bi trebao razmatrati kvalitativne aspekte grešaka. One uključuju prirodu i uzrok grešaka te moguće utjecaje pogrješaka na druge faze revizije. Greške koje su rezultat kvara automatskih procesa obično imaju šire implikacije za stope grešaka nego ljudske pogreške.
Kada se ne može doći do očekivanih dokaza revizije u vezi s određenom jedinicom uzorka, revizor može dobiti dovoljno dokaza revizije provodeći alternativne postupke za odabrane stavke.
Revizor bi trebao razmotriti projiciranje rezultata uzorka na populaciju koristeći metodu projekcije koja je dosljedna metodi koja se koristi za izbor uzoraka. Projekcija uzorka može uključivati procjenu vjerojatnih grešaka u populaciji i procjenu grješaka koje su možda ostale neotkrivene zbog nepreciznosti tehnika zajedno s kvalitativnim aspektima pronađenih grešaka.
Revizor bi trebao razmotriti mogu li greške u populaciji prijeći prihvatljivu grešku uspoređujući procijenjenu grešku populacije s prihvatljivom grješkom, uzimajući u obzir rezultate drugih revizorskih postupaka koji su relevantni za cilj revizije. Kada predviđena greška populacije prijeđe prihvatljivu grešku, revizor bi trebao ponovno procijeniti rizik uzimanja uzorka, i ako je taj rizik neprihvatljiv, razmotriti postupak revizije ili provođenje alternativnih postupaka revizije.
201
Preporuke za rad
Preporuka za rad 2100-11:Utjecaji sveobuhvatnih kontrola IS-a
Tumačenje Standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.
Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Utjecaji sveobuhvatnih kontrola IS-a, dokument G11. Ove smjernice za informacijske sustave objavljenje su u ožujku 2000. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je uz dozvolu ISACA-e i priznanje. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koje je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.
Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja kontrola IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za izvršavanje revizije IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi nadopunile detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.
I. Okvir kontrola
Pregled
COBIT definira ‘’kontrolu’’ kao ‘’one mjere, postupke, prakse i organizacijske strukture koje su osmišljene da pruže razumno uvjerenje za ostvarenje poslovnih ciljeva i sprečavanje neželjenih događaja, prepoznavanje ili ispravljanje.’’ Za svaku reviziju IS-a, revizori bi trebali razlikovati opće kontrole koje utječu na sve informacijske sustave i poslovanje (sveobuhvatne kontrole IS-a) i one koje funkcioniraju na razini koja je određenija (detaljne kontrole IS-a) kako bi koncentrirali nastojanja revizije na rizična područja koja su relevantna ciljevima revizije. Okvir kontrola koji je opisan u donjem tekstu trebao bi pomoći revizoru u postizanju ove koncentracije.
202
Okvir profesionalnog djelovanja
Sveobuhvatne kontrole IS-a
Primjeri sveobuhvatne kontrole IS-a uključuju kontrole nad procesima IS-a definiranima u domeni COBIT-ovog planiranja i organizacije te domene praćenja; npr. : ‘’PO1-definiranje strateškog informatičkog plana’’ o ‘’M1-praćenje procesa’’. Sveobuhvatne kontrole IS-a su podgrupa općih kontrola, a opće kontrole se koncentriraju na upravljanje i praćenje IS-a.
Utjecaj sveobuhvatnih kontrola IS-a nije ograničen na pouzdanost primjene kontrola u financijskim sustavima. Sveobuhvatne kontrole IS-a također utječu na pouzdanost detaljnih kontrola IS-a, nad npr.:
• razvojem programa• implementacijom sustava• administracijom sigurnosti• postupcima za sigurnosne kopije.
Slabo upravljanje i praćenje IS-a (odn. slabe sveobuhvatne kontrole IS-a) trebali bi upozoriti revizora o mogućnosti visokog rizika kako su kontrole koje su zamišljene za funkcioniranje na detaljnoj razini možda neučinkovite.
Detaljne kontrole IS-a
Detaljne kontrole IS-a sastoje se od aplikacijskih kontrola i onih općih kontrola koje nisu uključene u sveobuhvatne kontrole IS-a. U okviru COBIT-a, detaljne kontrole IS-a su kontrole nad akvizicijom, implementacijom, dostavom i podrškom sustava IS-a i usluga. Primjeri uključuju kontrole nad:
• implementacijom softverskih paketa• parametrima sigurnosti sustava• planiranju oporavka od katastrofa• validacijom unosa podataka• proizvodnjom izvješća o iznimkama• zaključavanjem korisničkih računa nakon nepravilnih pokušaja pristupa.
Aplikacijske kontrole su podgrupa detaljnih kontrola IS-a. Na primjer, validacija unosa podataka je također i detaljna kontrola IS-a i aplikacijska kontrola. Instalacija i akreditiranje sustava (AI5) je detaljna kontrola IS-a, no ne aplikacijska kontrola.
Povezanosti između kontrola IS-a su pokazane u sljedećem pregledu:• kontrole IS-a• opće kontrole• sveobuhvatne kontrole IS-a• detaljne kontrole IS-a• aplikacijske kontrole.
203
Preporuke za rad
Revizor bi trebao razmotriti utjecaje ne-IS kontrola na opseg i postupke revizije.
Interakcija sveobuhvatnih i detaljnih kontrola IS-a
Okvir COBIT dijeli kontrolne procese IS-a u četiri područja:
• planiranje i organizacija• akvizicija i implementacija• dostava i podrška• praćenje.
Na učinkovitost kontrola u područjima akvizicije i implementacije (AI) i dostave i podrške (DS) utječe učinkovitost kontrola kojima se upravlja u domenama planiranja, organizacije (PO) i praćenja (M). Neprimjereno planiranje, organizacija i praćenje od strane višeg menadžmenta sugeriraju da će kontrole nad akvizicijom, implementacijom i isporukom usluga te podrškom biti nedjelotvorne. Obratno, jako planiranje, organizacija i praćenje mogu identificirati i ispraviti nedjelotvorne kontrole nad akvizicijom, implementacijom i isporukom usluge i podrškom.
Na primjer, na djelotvorne detaljne kontrole IS-a nad procesima ‘’Akvizicija i održavanje aplikacijskog softvera’’ (COBIT uputa procesa AI2) djeluje adekvatnost sveobuhvatnih kontrola IS-a nad procesima:
• ‘’Definirati strateški informatički plan’’ (COBIT uputa procesa PO1) • ‘’Upravljanje procesima’’ (COBIT uputa procesa PO10) • ‘’Upravljanje kvalitetom’’ (COBIT uputa procesa PO11) • ‘’Praćenje procesa’’ (COBIT uputa procesa M1)
Revizija akvizicije aplikacijskog sustava trebala bi uključiti prepoznavanje efekata strategije IS-a, pristup upravljanju projekata, upravljanju kvalitetom te pristup praćenju. Kada je na primjer upravljanje projektima nedostatno, revizor bi trebao razmatrati:
• dodatni posao za pružanje uvjerenja kako se određenim projektima upravlja učinkovito
• prijavljivanje slabosti sveobuhvatnih kontrola IS-a višoj upravi.
Daljnji primjer da na djelotvorne detaljne kontrole IS-a nad procesom ‘’Osigurati sigurnost sustava’’ (COBIT uputa procesa DS5) utječe dostatnost sveobuhvatnih kontrola IS-a nad procesima:
• ‘’Definirati informatičku organizaciju i veze’’ (COBIT uputa procesa PO4)• ‘’Objaviti ciljeve i smjer upravljanja’’ (COBIT uputa procesa PO6)• ‘’Procijeniti rizike’’ (COBIT uputa procesa PO9)• ‘’Pratiti procese’’ (COBIT uputa procesa M1).
204
Okvir profesionalnog djelovanja
Revizija dostatnosti parametara sigurnosti u sustavu, na primjer UNIX, Windows NT, RACF, trebala bi uključiti razmatranje sigurnosnih mjera uprave (PO6), dodjelu sigurnosnih odgovornosti (PO4), postupke procjene sigurnosti (PO9) i postupke za nadzor usklađenosti sa sigurnosnom politikom (M1). Čak i kad se parametri ne slažu sa stajalištem revizora o ‘’najboljoj praksi’’, može ih se vrednovati kao dostatne u svjetlu rizika koje je prepoznao viši menadžment i mjera upravljanja koje usmjeravaju način na koji bi se trebalo postupati s tom razinom rizika. Preporuke za reviziju trebalo bi usmjeriti na upravljanje rizicima ili mjere, kao i na same detaljne parametre.
II. Planiranje
Pristup relevantnim sveobuhvatnim kontrolama IS-a
Revizorske smjernice o planiranju revizije IS-a govore da bi revizor trebao izvršiti preliminarnu procjenu kontrola nad funkcijama koje se revidira. Ova preliminarna procjena bi trebala uključiti i vrednovati relevantne sveobuhvatne kontrole IS-a. Testiranje sveobuhvatnih kontrola IS-a može se držati na različitom ciklusu u odnosu na provođenje navedene revizije budući da po svojoj prirodi pokrivaju mnogo različitih aspekata korištenja IS-a. Revizor bi stoga trebao razmotriti može li se osloniti na prethodni rad revizije u ovom području kako bi se prepoznalo i revidiralo ove kontrole.
Kada revizorski rad ukazuje na nezadovoljavajuće sveobuhvatne kontrole IS-a, revizor bi trebao razmatrati utjecaj svojeg nalaza o planiranom pristupu za ostvarivanje cilja revizije:
• jake sveobuhvatne kontrole IS-a mogu doprinijeti uvjerenju koje može dobiti revizor u odnosu na detaljne kontrole IS-a
• slabe sveobuhvatne kontrole IS-a mogu narušiti jake detaljne kontrole IS-a i pogoršati slabosti na detaljnoj razini.
Dostatni postupci revizije
Kada sveobuhvatne kontrole IS-a imaju potencijalni značajan utjecaj na cilj revizije, nije dovoljno planirati samo reviziju detaljnih kontrola. U slučaju da nije moguće praktično izvršiti reviziju sveobuhvatnih kontrola IS-a, trebalo bi izvijestiti o ograničenju opsega. Revizor bi trebao planirati testiranje značajnih relevantnih kontrola IS-a gdje to doprinosi postizanju cilja revizije.
Relevantne kontrole
Relevantne sveobuhvatne kontrole IS-a su one koje imaju utjecaj na određene ciljeve revizije za zadatak. Na primjer, kada je cilj revizije izvještavati o kontrolama oko promjena određene programske knjižnice, relevantne će biti sveobuhvatne kontrole IS-a koje se
205
Preporuke za rad
odnose na mjere sigurnosti (PO6), no možda neće biti relevantne sveobuhvatne kontrole IS-a koje se odnose na određivanje tehnološkog smjera (PO3).
Pri planiranju revizije revizor bi trebao prepoznati koja od ukupnih populacija sveobuhvatnih kontrola IS-a ima utjecaja na određene ciljeve revizije, te bi trebao planirati uključiti ih u opseg revizije. Ciljevi kontrole COBIT-a za domene ‘’planiranja i organizacije’’ i ‘’praćenja’’ mogu pomoći revizoru IS-a prepoznati relevantne sveobuhvatne kontrole IS-a.
Dokaz revizije
Sveobuhvatne kontrole IS-a se ne trebaju nužno dokumentirati, već bi revizor IS-a trebao planirati dobivanje dokaza o reviziji kako relevantne kontrole funkcioniraju učinkovito. Pregled potencijalnih testova nalazi se u dijelu izvršavanje rada revizije.
Pristup relevantnim detaljnim kontrolama IS-a
Kada revizorski rad upućuje da su sveobuhvatne kontrole IS–a zadovoljavajuće, revizor bi trebao razmotriti smanjivanje razine planiranog testiranja za detaljne kontrole IS-a budući da revizorski dokaz jakih sveobuhvatnih kontrola IS-a doprinosi uvjerenju koje dobiva revizor u odnosu na detaljne kontrole IS-a.
Kada rad revizije IS-a upućuje da sveobuhvatne kontrole IS-a nisu zadovoljavajuće, revizor bi trebao provesti dovoljno testiranje detaljnih kontrola IS-a kako bi se pružili dokazi revizije da oni funkcioniraju učinkovito unatoč slabosti relevantnih sveobuhvatnih kontrola IS-a.
III. Provođenje rada revizije
Testiranje sveobuhvatnih kontrola IS-a
Revizor bi trebao provesti dovoljno testiranja kako bi pružio uvjerenje da su relevantne sveobuhvatne kontrole IS-a funkcionirale učinkovito u revizijskom razdoblju ili u određenom trenutku. Postupci testiranja mogu uključivati:
- promatranje- potkrjepljujuće istrage- pregled relevantne dokumentacije (mjera, standarda, zapisnika sa sastanaka itd.)- ponovno provođenje (korištenjem CAAT-a, na primjer).
Ako testiranje relevantnih sveobuhvatnih kontrola IS-a upućuje da su one zadovoljavajuće, revizori bi trebali nastaviti s planiranom revizijom detaljnih kontrola IS-a koje se direktno primjenjuju na cilj revizije. Razina takvog testiranja može biti manja nego što je prikladno ako sveobuhvatne kontrole IS-a ne funkcioniraju na zadovoljavajući način.
206
Okvir profesionalnog djelovanja
IV. Izvještavanje
Slabosti sveobuhvatnih kontrola IS-a
Kada je revizor identificirao slabosti u sveobuhvatnim kontrolama IS-a, o tome treba obavijestiti viši menadžment, čak i kada razmatranje takvih područja nije posebno utvrđeno u dogovorenom opsegu poslova.
Ograničenja opsega
Kada bi sveobuhvatne kontrole IS-a trebale imati značajan utjecaj na učinkovitost detaljnih kontrola IS-a, a nije izvršena revizija kontrola IS-a, revizor bi trebao o tome izvijestiti viši menadžment u završnom izvještaju, s izjavom potencijalnih utjecaja na rezultate revizije, zaključke i preporuke. Na primjer, kada revizor izvještava o reviziji akvizicije paketa rješenja, no nije vidio strategiju IS-a organizacije, revizor bi trebao u izvještaj uključiti izjavu da strategija IS-a nije bila dostupna ili ne postoji. Kada je to relevantno, revizor bi trebao izvještavati o potencijalnim utjecajima na rezultate revizije, zaključke i preporuke. Na primjer, izjava da iz tog razloga nije moguće reći je li akvizicija paketa rješenja dosljedna sa strategijom IS-a te hoće li podržavati buduće planove poslovanja.
207
Preporuke za rad
Preporuka za rad 2100-12:Eksternaliziranje aktivnosti IS-a
drugim organizacijama
Tumačenje Standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.
Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Eksternaliziranje aktivnosti IS-a na drugu organizaciju, dokument G4. Ove smjernice za informacijske sustave objavljenje su u rujnu 1999. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.
Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije izdvojenih aktivnosti IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom izdvojenih aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.
Što treba uzeti u obzir prije poduzimanja revizije
1. Glavni revizor bi trebao odrediti da aktivnost interne revizije posjeduje ili ima pristup neovisnim6 i mjerodavnim resursima za reviziju kako bi izvršio reviziju aktivnosti informacijskih sustava (IS) koje su izdvojene drugoj organizaciji, te vrednovao pripadajuće rizike izlaganja.
2. Prava na reviziju pružatelja izdvojenih usluga su često nejasna. Odgovornost za usklađenost revizije također često nije jasna. Glavni revizor i /ili imenovani revizor u suradnji s odjelom pravnih poslova, ugovaranje i/ili drugim nadležnim odjelom trebao bi odrediti razmjer do kojeg sporazum o eksternaliziranju regulira reviziju
6 Neovisnost- odnosno ako revizor nije uključen u planiranje, odabir ili ugovaranje izdvojenih aktivnosti IS-a.
208
Okvir profesionalnog djelovanja
pružatelja usluga, te bi trebao razmotriti jesu li ove odredbe dostatne. Ako se ukaže potreba, treba potražiti stručan pravni savjet.
3. Glavni revizor i/ili imenovani revizor trebao bi također procijeniti potencijalno oslanjanje na rad revizije IS-a koji je izvršen ili od strane internih revizora pružatelja usluga ili neovisne treće strane koju je angažirao pružatelj usluga. Sposobnost na reviziju i/ili oslanjanje na rad druge strane trebalo bi utvrditi prije poduzimanja revizije.
Što treba uzeti u obzir kod planiranja
1. Pronalaženje činjenica
Revizor bi trebao steći razumijevanje prirode, vremenskog okvira i razmjera izdvojenih usluga. Revizor bi trebao utvrditi koje je kontrole primijenio korisnik kako bi se nosio s poslovnim zahtjevima koji nalažu: ‘’osigurati da se uloge i odgovornosti trećih strana jasno definiraju, da ih se poštuje i dalje udovoljava uvjetima’’ (COBIT cilj visoke razine kontrole SD2).
Rizike povezane s izdvojenim uslugama treba identificirati i procijeniti.
Revizor bi trebao procijeniti mjeru do koje kontrole korisnika usluga pružaju razumno uvjerenje da će se poslovni ciljevi ostvariti, te da će neželjeni događaji biti spriječeni ili otkriveni i ispravljeni.
2. Planiranje
Revizor bi trebao vrednovati svaki prethodni izvještaj revizije koji je pripremljen za pružatelja usluga, te planirati rad revizije informacijskog sustava kako bi se bavio ciljevima revizije koji su značajni za okoliš pružatelja usluga, uzimajući u obzir informacije koje je dobio tijelom planiranja.
Uprava korisnika usluge treba se sporazumjeti o cilju revizije prije nego se ona priopći pružatelju usluga. O svim promjenama koje zahtijeva pružatelj usluga treba se postići dogovor s upravom korisnika usluga.
Revizor bi trebao planirati rad revizije informacijskog sustava kako bi bio sukladan s vrijedećim standardima profesionalne revizije, kao da se revizija provodi u vlastitom okruženju korisnika usluge.
Provođenje revizije
1. Zahtjevi za reviziju dokaza
209
Preporuke za rad
Revizija bi se trebala provoditi kao da se usluga pruža u vlastitom okruženju IS-a korisnika usluge.
2. Sporazum s pružateljem usluga
Revizor bi trebao razmotriti nešto od sljedećeg:• postojanja formalnog sporazuma između pružatelja usluga i korisnika usluga• dodavanje klauzule o sporazumu za eksternaliziranje koji izričito nalaže da se
pružatelj usluga obvezuje ispuniti sve pravne uvjete vezane za njegove aktivnosti te poštovati sve zakone i propise relevantne za funkcije koje će poduzeti u ime korisnika usluga
• u sporazumu o eksternaliziranju utvrditi da su aktivnosti koje provodi pružatelj usluga podložne kontroli i revizijama kao da ih provodi sam korisnik usluge
• uključenje prava na pristup reviziji u sporazum pružatelja usluga• postojanje sporazuma o razini kvalitete usluga (SLA-ova) s postupcima praćenja
učinka• poštivanje sigurnosnih mjera korisnika usluge• dostatnost propisa pružatelja usluga o osiguranju od prijevare• dostatnost mjera pružatelja usluga o osoblju i postupcima.
3. Upravljanje izdvojenim uslugama
Revizor bi trebao verificirati sljedeće:• poslovni procesi za proizvodnju informacija koji se koriste za praćenje sukladnosti
sa SLA-ovima kontroliraju se na odgovarajući način• ukoliko ne postoji sukladnost sa SLA-ovima, korisnik usluge traži pravni lijek i
razmatra korektivno djelovanje kako bi se postigla ugovorena razina usluga• korisnik usluge ima sposobnost i stručnost za nastavak i pregled pruženih usluga.
4. Ograničenja opsega
Kada pružatelj usluga ne pokaže nesklonost za suradnju s revizorom, revizor bi trebao obavijestiti upravu korisnika usluge, kao i glavnog revizora.
Izvještavanje
Revizor bi nakon završetka rada revizije trebao ciljanim primateljima koji su korisnici usluge dati izvještaj u odgovarajućem obliku.Revizor bi prije objavljivanja trebao razmotriti raspravljanje izvještaja s pružateljem usluga, no revizor ne bi trebao biti odgovoran za izdavanje završnog izvještaja pružatelju usluga. Ako pružatelj usluga treba primiti kopiju, navedeno obično treba doći iz uprave korisnika usluge.
210
Okvir profesionalnog djelovanja
Izvještaj bi trebao precizirati sva ograničenja distribucije čije su nametanje dogovorili revizor ili uprava korisnika usluge. Na primjer, pružatelj usluge ne bi trebao dostaviti kopiju izvještaja drugim korisnicima njihove usluge bez dozvole revizorove organizacije i, gdje je to prikladno, korisnika usluge.
Revizorski izvještaj trebao bi jasno identificirati ograničenje na opseg gdje ne vrijede prava pristupa te bi trebao objasniti utjecaje ovih ograničenja u odnosu na reviziju.
Aktivnosti praćenja
Ako se revizija provodi u vlastitom okruženju korisnika usluge, revizor bi trebao zahtijevati odgovarajuću informaciju i od korisnika usluge i pružatelja usluge, vezano za prethodne nalaze koji su relevantni, zaključke i preporuke. Revizor bi trebao utvrditi jesu li pravovremeno implementirane odgovarajuće akcije ispravljanja od strane pružatelja usluga.
211
Preporuke za rad
Preporuka za rad 2100-13:Utjecaj trećih strana
na informatičku kontrolu organizacije
Tumačenje Standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.
Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Utjecaj trećih strana na informatičku kontrolu organizacije, dokument G16. Ove smjernice za informacijske sustave objavljene su u ožujku 2002. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti prihvaća te promjene.
Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije utjecaja trećih strana na informatičku kontrolu organizacije. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom izdvojenih aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.
1. Usluge neovisnih pružatelja usluga
Organizacije koriste internet i korporativni intranet u mnoštvo svrha. One uključuju pružanje pristupa zaposlenicima, prodavačima i klijentima na postojeće i/ili nove ljudske resurse, financijske aplikacije i one za kupnju i prodaju. Ovaj pristup se, u mnogim primjerima, pruža putem jednog ili više neovisnih pružatelja usluga.
Treće strane mogu pružati usluge kao što su:• povezivost internih mreža na internet• povezivost na partnere organizacije kroz virtualne privatne mreže ekstraneta• povezivost na klijente korištenjem bežične tehnologije • razvoj web stranica• održavanje web stranice, upravljanje i praćenje• sigurnosne usluge web stranice
212
Okvir profesionalnog djelovanja
• pružanje fizičke lokacije za hardver (poznate kao kolokacija)• praćenje sustava i pristupa aplikaciji• sigurnosna kopija i usluge oporavka• razvoj aplikacije, održavanje i hosting (kao što su ERP sustavi, sustavi e-trgovine)• razvoj aplikacije, uključujući upravljanje gotovinom, kreditne kartice, obrade
narudžbe i usluge pozivnog centra.
2. Utjecaj neovisnih pružatelja usluga na organizaciju
Neovisni pružatelji usluga mogu imati utjecaj na organizaciju (uključujući njene partnere), njene procese, kontrole i ciljeve kontrole na više različitih razina. Ovo uključuje utjecaje koji proizlaze iz sljedećeg:
• gospodarske održivosti neovisnih pružatelja usluga • pristupa neovisnih pružatelja usluga informacijama koje se odašilju kroz njihove
komunikacijske sustave i aplikacije• dostupnosti sustava i aplikacija• integriteta obrade• razvoja aplikacije i procesa upravljanja promjenom• zaštite sustava i podatkovne imovine kroz rezervnu kopiju za oporavak, planiranje
kontingentnosti i redundanciju.
Treće strane mogu ostati ključna komponenta u kontrolama organizacije i ostvarivanju povezanih ciljeva kontrole. Revizor bi trebao revidirati usluge koje pruža treća strana u odnosu na informatičko okruženje, povezane kontrole i ciljeve kontrola.
Na isti način, sposobnost organizacije da postiže svoje ciljeve kontrole može se poboljšati ili oslabiti relativnom učinkovitošću ili neučinkovitošću kontrola treće stranke. Slabosti mogu proizlaziti iz mnogih izvora, uključujući:
• rupe u kontrolnom okruženju koje proizlaze iz eksternaliziranja usluga treće stranke
• loš dizajn kontrola koje uzrokuje neučinkovito funkcioniranje• nedostatak znanja i/ili nedostatak iskustva osoblja koje je odgovorno za kontrolne
funkcije• preveliko oslanjanje na kontrole treće stranke (kada ne postoje kompenzirajuće
kontrole unutar organizacije).
Nedostatak kontrola i/ili slabosti u dizajnu kontrola, funkcioniranju ili učinkovitosti mogu dovesti do nečega kao što je:
• gubitak povjerljivosti i privatnosti informacija• sustavi nisu više upotrebljivi kada je to potrebno• neovlašteni pristup i promjene sustava, aplikacija ili podataka• promjene sustava, aplikacija ili podataka koje imaju za posljedicu pad sustava
ili sigurnosti, gubitak podataka, gubitak integriteta,gubitak zaštite podataka ili nedostupnost podataka
213
Preporuke za rad
• gubitak resursa sustava i/ili podatkovne imovine• povećani troškovi organizacije kao posljedica bilo čega navedenog gore.
3. Postupci koje mora izvršiti revizor
Razumijevanje
Kao dio procesa planiranja, revizor bi trebao razumjeti i dokumentirati vezu između usluga koje pruža treća strana i kontrolnog okruženja organizacije. Revizor bi trebao razmotriti na primjer ugovor, ugovor o razini kvalitete usluga, mjere i postupke između treće strane i organizacije.
Revizor bi trebao:• dokumentirati procese i kontrole treće strane koji imaju izravan utjecaj na procese i
ciljeve kontrola organizacije• prepoznati svaku kontrolu, njenu lokaciju u kombiniranom kontrolnom okruženju
(unutarnji ili vanjski), tip kontrole, njenu funkciju (preventivnu, detektivnu ili korektivnu) te organizaciju koja izvršava funkciju (unutarnja ili vanjska)
• procijeniti rizike koje treća strana pruža organizaciji, njene kontrole i ciljeve kontrole
• odrediti važnost kontrola treće strane za sposobnost organizacije da ispuni svoje kontrolne ciljeve
• potvrditi svoje razumijevanje kontrolnog okruženja provodeći istragu i promatranje te probe za transakciju.
Procjena uloge kontrola treće strane
Ako je uloga i utjecaj koji treća strana ima na kontrolne ciljeve organizacije značajna, tada bi revizor trebao procijeniti ove kontrole kako bi odredio funkcioniraju li kako je opisano, rade li učinkovito, te pružiti pomoć organizaciji u postizanju njenih kontrolnih ciljeva.
Procjena prepoznatih slabosti kontrole
Revizori bi trebali procijeniti vjerojatnost (ili rizik kontrole) postojanja slabosti u informatičkom okruženju, a mogu se nalaziti u kontrolama, dizajnu ili upravljanju. Revizor bi trebao prepoznati gdje postoje slabosti kontrole.
Revizor bi nakon toga trebao procijeniti je li rizik kontrola značajan i koji utjecaj ima na kontrolno okruženje.
Kada se prepoznaju slabosti, revizor bi trebao odrediti postoje li kompenzirajuće kontrole koje mogu biti suprotne utjecaju prepoznatih slabosti (kompenzirajuće kontrole mogu postojati u organizaciji, kod neovisnog pružatelja usluga ili oba subjekta). Ako postoje kompenzirajuće kontrole, revizor bi trebao odrediti ublažavaju li utjecaj slabosti kontrola.
214
Okvir profesionalnog djelovanja
4. Ugovori s neovisnim pružateljima usluga
Uloge i odgovornosti
Veza između organizacije i neovisnog pružatelja usluga treba se dokumentirati u obliku izvršenog ugovora. Ugovor je ključan element i sadrži mnogo odredaba koje upravljaju djelovanjem i odgovornostima svake strane.
Revizor bi trebao pregledati ugovor (po mogućnosti uz pomoć pravnog savjetnika organizacije) kako bi odredio ulogu i odgovornosti treće strane u pružanju pomoći organizaciji i u postizanju njenih kontrolnih ciljeva. Smjernice o tome kako pregledati ugovor nisu obuhvaćene ovim preporukama za rad, međutim, sljedeća lista sadrži primjere pitanja koja treba razmotriti:
• razina usluge koju treba pružiti treća strana (bilo organizaciji, njenim partnerima ili oboje)
• prikladni honorari koje naplaćuje treća strana• odgovornost za podatke i privatnost aplikacija i povjerljivost• odgovornost za sustave, komunikacije, operativni sustav, uslužni softver, podatke i
kontrole pristupa aplikacijskom softveru i administraciji• praćenje imovine i povezanih podataka te odgovora (organizacija i treća strana) i
postupci izvještavanja (rutina, incident) • preciziranje vlasništva podatkovne imovine, uključujući podatke i imena domena• preciziranje vlasništva korisničkog programiranja koje je razvio neovisni pružatelj
usluge za organizaciju, uključujući promjenu dokumentacije, izvorski kod i uvjetne sporazume
• osiguranje zaštite za sustave i podatke, uključujući sigurnosne kopije i oporavak, planiranje kontingentnosti i redundantnost
• klauzula prava na reviziju (uključujući na primjer mogućnost nalaženja s neovisnim pružateljem usluge i osobljem za internu reviziju kako bi se njihovi radni materijali i izvještaji podvrgnuli reviziji)
• proces za pregovore, pregled i odobravanje promjena u ugovoru i povezanim dokumentima (kao što su ugovori o razini kvalitete usluga i postupci).
Revizor bi barem trebao izvršiti reviziju ugovora kako bi odredio mjeru odgovornosti za kontrole koje poduzima treća strana u ime organizacije. Ovim procesom bi se trebalo procijeniti dostatnost identificiranih kontrola i praćenje/izvještavanje o usklađenosti, njihov dizajn te učinkovitost funkcioniranja.
Korporativno upravljanje
Čak i kad su uključene treće strane, uprava još uvijek snosi odgovornost za postizanje povezanih ciljeva kontrole. Kao dio ove odgovornosti, uprava bi trebala imati proces kojim
215
Preporuke za rad
upravlja s vezom i učinkom neovisnog pružatelja usluga. Revizor bi trebao prepoznati i pregledati elemente ovog procesa. Revizor bi trebao pregledati sredstva koja upravljanje procesima koristi za prepoznavanje rizika povezanih s neovisnim pružateljem usluga, usluge koje pruža treća strana te način na koji uprava upravlja vezom među dva subjekta.Pregledom procesa upravljanja od strane revizora trebalo bi se utvrditi provjerava li uprava neovisne pružatelje usluga s obzirom na standarde izvođenja ili kriterije koji su navedeni u ugovoru ili sve standarde koje su odredila regulacijska tijela.
Proces korporativnog upravljanja trebao bi na primjer uključivati pregled sljedećeg:• financijski učinak neovisnog pružatelja usluga • usklađenost s uvjetima ugovora• promjene u kontrolnom okruženju koje je naložila treća strana, njeni revizori i/ili
regulatori• održavanje dostatnih razina osiguranja.
5. Pregled kontrola neovisnih pružatelja usluga
Ugovorna pitanja
Kada se provodi revizija kontrola treće strane, revizor bi trebao uzeti u obzir ugovornu vezu između organizacije i neovisnog pružatelja usluga te vrednovanje neovisnih pružatelja usluga i izvještavanje o njihovim kontrolama.
Ugovorna pitanja mogu spriječiti revizora od pregleda kontrola kod neovisnih pružatelja usluga. U ovim uvjetima, revizor bi trebao procijeniti ovo ograničenje opsega na vlastitoj sposobnosti da vrednuje kontrolno okruženje informacijskog sustava.
Nezavisna izvješća
Neovisni pružatelji usluga mogu podnositi izvještaj iz nezavisnih izvora o svojim kontrolama. Ovi izvještaji mogu dobiti oblik izvještaja revizije ureda službe ili drugih izvještaja temeljenih na kontroli. Revizori mogu koristiti ove izvještaje kao temelj za oslanjanje na kontrole u kontrolnom okruženju informacijskog sustava.
Ako revizor odluči koristiti nezavisni izvještaj kao temelj za oslanjanje na kontrole informacijskog sustava kod neovisnog pružatelja usluga, tada bi trebao pregledati ove izvještaje kako bi utvrdio sljedeće:
• Nezavisna stranka je kvalificirana. Ovo može uključivati posjeduje li nezavisna stranka odgovarajuće certifikate ili dozvolu stručnosti, ima li relevantno iskustvo, te uživa li dobar ugled s relevantnim profesionalnim i regulatornim (ako je relevantno) tijelima.
• Nezavisna stranka nema veza s neovisnim pružateljem usluga što bi ugrozilo njihovu nezavisnost i objektivnost.
216
Okvir profesionalnog djelovanja
• Razdoblje koje pokriva izvještaj. • Je li izvještaj dostatan (odn. izvještaj pokriva relevantne sustave i kontrole te
uključuje testove područja koje bi revizor uključio da je on izvršavao posao)?• Ako su kontrole testiranja dovoljne da omoguće revizoru oslanjanje na rad nezavisne
stranke (odn. da je testiranje kontrola dovoljno što se tiče prirode, vremenskog okvira i razmjera izvršenih postupaka).
• Izvještaj razgraničava između odgovornosti pružatelja usluga i odgovornosti organizacije korisnika.
• Organizacija korisnika se bavila sa svojim odgovornostima u odnosu na prikladne kontrole.
Testiranje kontrola treće strane
Ako revizor odluči direktno revidirati i testirati kontrole kod neovisnog pružatelja usluga, tada bi trebalo postupiti na sljedeći način:
• raditi s upravom i, ako je relevantno ili ako se smatra prikladnim, izvršiti internu reviziju neovisnog pružatelja usluga kako bi se planirao angažman, postavio njegove ciljeve i opseg revizije, te odredio vremenski okvir, potrebe osoblja i druga pitanja
• baviti se pitanjima kao što je pristup sustavima treće strane i imovini, kao i povjerljivost
• razviti program revizije, proračun i plan angažmana• ustanoviti ciljeve kontrole.
Nakon što je revizor završio rad na terenu, treba se izvesti zaključak o operativnoj učinkovitosti testiranih kontrola. Revizor bi trebao pregledati učinkovitost kontrola unutar svake organizacije i međusobno djelovanje kontrola između organizacije i treće strane. U većini situacija dolazit će do preklapanja kontrola između organizacije i treće strane. Revizor bi trebao procijeniti operativnu učinkovitost sveukupnih kontrola u odnosu na individualne.
Mogu postojati situacije u kojima za određeni cilj u organizaciji kontrole ne postoje ili ne funkcioniraju učinkovito. Pored toga, mogu postojati situacije u kojima prednosti kontrola u jednoj organizaciji mogu biti djelomično ili potpuno negirane slabostima kontrola u drugoj organizaciji. U ovim situacijama, revizor bi trebao procijeniti utjecaj koji ove slabosti imaju na cjelokupno kontrolno okruženje i na razmjer njihovih postupaka.
Interni revizori trećih strana
Revizor bi trebao razmotriti ima li treća strana odjel za internu reviziju. Postojanje internih revizora može poboljšati snagu kontrolnog okruženja. Ako postoji odjel za internu reviziju, revizor bi trebao odrediti razmjer njegovih aktivnosti u pogledu sustava i kontrola koje utječu na organizaciju.
217
Preporuke za rad
Ako je moguće, revizor bi trebao pregledavati relevantna izvješća interne revizije. U situacijama kada nije moguće pregledati te izvještaje, revizor bi trebao raspraviti opseg izvršenih revizija, pokrivene sustave i kontrole, i sva važna pitanja ili identificirane slabosti. Ako treća strana nije sklona dati pristup izvještajima, revizor bi trebao procijeniti ovo ograničenje na omjer njihovih postupaka.
Revizor bi također trebao razmatrati procjenu vještina i stručnosti osoblja za internu reviziju. Ovo se može ostvariti razgovorom s tim pojedincima i dodatnim postupcima kao što je pregled njihovih radnih planova, radnih papira i izvještaja.
6. Podugovaratelji trećih strana
Revizor bi trebao utvrditi koristi li treća strana podugovaratelje kako bi pružala sustave i usluge. U situacijama u kojima se koriste podugovaratelji, revizor bi trebao pregledati značenje ovih podugovaratelja kako bi odredio njihov potencijalni utjecaj na kontrole treće strane koje se odnose na organizaciju.
Ako podugovaratelj nema značajan utjecaj na kontrole koje su bitne organizaciji, tada bi revizor trebao dokumentirati isto u svojim radnim materijalima. Ako se utvrdi da postoji značajan utjecaj na kontrole koje su relevantne za organizaciju, tada bi revizor trebao vrednovati procese koje koristi treća stranka za upravljanje i praćenje veze s podugovarateljem. Revizor bi trebao razmotriti dijelove 4 i 5 ovih preporuka pri izvršavanju ove procjene.
7. Izvještavanje
Izvještaj revizora bi trebao upućivati na opseg revizije koji je proširen na kontrole i unutar organizacije i unutar treće stranke. Revizori bi trebali razmotriti identificiranje kontrole, slabosti kontrola i kompenzirati kontrole koje postoje u svakoj organizaciji. Kod razmjera do kojeg se zaključci i preporuke priopćavaju trebaju imati na umu vezu između organizacije i treće strane. Neke treće strane možda nisu voljne ili sposobne implementirati preporuke. U ovim situacijama, revizor bi trebao preporučiti kompenzirajuće kontrole koje bi organizacija trebala implementirati kako bi se bavila slabostima kontrole kod treće strane.
218
Okvir profesionalnog djelovanja
Preporuke za rad 2100-14:Zahtjev za revizijskim dokazima
Tumačenje Standarda 2100 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije procjenjuje i doprinosi poboljšanju upravljanja rizicima, kontroli i sustavima korporativnog upravljanja.
Ove preporuke za rad usvojene su iz smjernica Udruge za reviziju i kontrolu informacijskog sustava (ISACA)- Zahtjev na revizijske dokaze, dokument G2. Ove smjernice za informacijske sustave objavljenje su u prosincu 1998. od strane ISACA-e. Korištenje i usvajanje ovog dokumenta izvršeno je s dozvolom ISACA-e i priznanjem. U dijelovima gdje se ove preporuke za rad na bilo koji način razlikuju od Smjernica/Postupka koji je izdala ISACA, ISACA ne jamči za točnost niti ne prihvaća te promjene.
Priroda ovih preporuka za rad: Interni revizori bi trebali razmotriti sljedeće prijedloge kod provođenja revizije aktivnosti IS-a. Namjera ovih smjernica nije predstaviti sve potrebne postupke za opsežno uvjerenje ili konzultacijski angažman povezan s revizijom aktivnosti IS-a, već jednostavno preporučeni temeljni niz odgovornosti revizora na visokoj razini kako bi se nadopunila detaljna nastojanja u planiranju revizije. Usklađivanje s preporukama za rad je izborno.
1. Planiranje
Vrste revizijskih dokaza
Kod planiranja revizije IS-a, revizor bi trebao uzeti u obzir tip revizijskih dokaza koji se treba prikupiti, njihovo korištenje kao revizijskih dokaza kako bi se ispunili ciljevi revizije, te varirajuće razine pouzdanosti. Među stvarima koje treba razmotriti su nezavisnost i kvalifikacije pružatelja revizijskih dokaza. Na primjer, potvrđujući revizijski dokazi od nezavisne treće strane mogu biti pouzdaniji nego revizijski dokaz iz organizacije koju se revidira. Fizički revizijski dokazi su općenito pouzdaniji nego predstavljanja pojedinačnih.
Različiti tipovi revizijskih dokaza čije bi korištenje revizor trebao razmotriti uključuju: • zapažene procese i postojanje fizičkih stavaka• revizijske dokaze u obliku dokumenta• prezentacije
219
Preporuke za rad
• analize.Zapaženi procesi i postojanje fizičkih stavaka mogu uključivati zapažanje aktivnosti, imovine i funkcija informacijskih sustava, kao što su:
• inventar medija na skladišnoj lokaciji izvan centralne lokacije• soba s računalima i sigurnosnim sustavom koji funkcionira.
Revizijski dokazi u obliku dokumenta, zabilježeni na papiru ili drugim medijima, mogu uključivati:
• rezultate ekstrakcije podataka• zapise transakcija• popise programa• fakture• dnevnike aktivnosti i kontrole• dokumentaciju o razvoju sustava.
Predstavke onih koji su podvrgnuti reviziji mogu biti revizijski dokazi, kao na primjer:• pismene mjere i postupci• dijagrami toka sustava• pismene ili usmene izjave.
Rezultati analize informacija kroz usporedbe, simulacije, izračune i zaključivanje mogu se također podvrgnuti reviziji kao dokazi. Primjeri uključuju:
• benchmarking (sustavno vrednovanje) učinka IS-a u usporedbi s drugim organizacijama ili prethodnim razdobljima
• usporedbe stopa pogrješaka među aplikacijama, transakcijama i korisnicima.
Dostupnost revizijskih dokaza
Revizor bi trebao razmotriti vrijeme tijekom kojeg informacije postoje ili su dostupne u određivanju prirode, vremenskog okvira i razmjera stvarnog testiranja te, ukoliko je primjenjivo, testiranje usklađenosti. Na primjer, revizijski dokazi obrađeni elektronskom razmjenom podataka (EDI), obradom slika u dokumentima (DIP) i dinamičnim sustavima kao što su proračunske tablice, nakon određenog vremena neće se moći ponovno pronaći ako se promjene na dokumentima ne kontroliraju ili ukoliko se ne radi sigurnosna kopija datoteka.
Odabir revizijskih dokaza
Revizor bi trebao planirati korištenje najboljih dostupnih revizijskih dokaza dosljednih s važnošću cilja revizije i vremenom te nastojanjem koje je uloženo u dobivanje revizijskih dokaza. U slučaju kada je revizijski dokaz u obliku usmene prezentacije ključan za revizorsko mišljenje ili zaključak, revizor bi trebao razmotriti dobivanje dokumentacijske potvrde reprezentacija, bilo na papiru ili na drugom mediju.
220
Okvir profesionalnog djelovanja
2. Izvršavanje revizorskog rada
Priroda revizijskih dokaza
Revizijski dokaz trebao bi biti dovoljan, pouzdan, relevantan i koristan kako bi se formiralo mišljenje ili potkrijepili nalazi revizora i zaključci. Ukoliko prema sudu revizora dobiveni revizijski dokazi ne ispunjavaju ove kriterije, revizor bi trebao dobiti dodatni revizijski dokaz. Na primjer, popis programa može biti nedostatan revizijski dokaz dok se sakupljaju drugi revizijski dokazi kako bi se verificiralo da predstavlja pravi program koji se koristi u procesu proizvodnje.
Skupljanje revizijskih dokaza
Postupci koji se koriste za prikupljanje revizijskih dokaza variraju ovisno o informacijskom sustavu koji se revidira. Revizor bi trebao odabrati najprikladniji postupak za cilj revizije. Treba razmotriti sljedeće postupke:
• upit• promatranje• provjeru• konfirmaciju• ponovno izvođenje• nadziranje.
Gore navedeno može se primjenjivati kroz korištenje ručnih revizijskih postupaka, računalnih revizijskih tehnika ili kombiniranjem oba postupka. Na primjer:
• Sustav koji koristi zbrojeve ručnih kontrola za ujednačavanje operacija unosa podataka može pružiti revizijski dokaz da je kontrolni postupak implementiran putem izvještaja koji je usklađen na odgovarajući način uz objašnjenja. Revizor bi trebao prikupiti revizijske dokaze pregledom i testiranjem ovog izvještaja.
• Detaljni zapisi transakcija mogu biti dostupni samo u formatu koje se može čitati strojno, zbog čega revizor mora prikupiti revizijske dokaze koristeći tehnike revizije uz pomoć računala.
Dokumentacija revizije
Revizijske dokaze koje je prikupio revizor trebalo bi na odgovarajući način dokumentirati i organizirati kako bi se poduprli nalazi i zaključci revizora.
3. Izvještavanje
U situacijama kada revizor vjeruje da nije moguće dobiti dovoljno revizijskih dokaza, trebao bi objaviti ovu činjenicu na način koji je dosljedan s izvještavanjem o rezultatima revizije.
221
Preporuke za rad
Preporuka za rad 2110-1:Procjena adekvatnosti
procesa upravljanja rizicima
Tumačenje Standarda 2110 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi pomagati organizaciji identificirajući i vrednujući značajnu izloženost riziku i doprinoseći poboljšanju upravljanja rizicima i kontrolnim sustavima.
Priroda ovih preporuka za rad: Internim revizorima može biti povjerena odgovornost pružanja uvjerenja višem menadžmentu i odboru za reviziju o adekvatnosti procesa upravljanja rizicima organizacije. Ova odgovornost bi zahtijevala formuliranje revizorova mišljenja o tome je li proces upravljanja rizicima organizacije dostatan za zaštitu njene imovine, ugleda i tekućeg poslovanja organizacije. U ovim preporukama nalaze se smjernice o glavnim ciljevima upravljanja rizicima koje bi revizor trebao razmotriti pri formuliranju mišljenja o adekvatnosti procesa upravljanja rizicima organizacije. Ove preporuke pokrivaju samo procjenu i izvještavanje o učinkovitosti procesa upravljanja rizicima organizacije. Druge preporuke za rad detaljnije će se baviti kontrolama i konzultacijskim pitanjima. U ovim preporukama za rad prepoznaje se da je proces upravljanja rizicima organizacije važan poslovni proces kojeg se može i treba vrednovati na sličan način kao i druge strateški važne procese.
1. Upravljanje rizicima je ključna odgovornost višeg menadžmenta. Kako bi se postigli poslovni ciljevi, viši menadžment bi trebao osigurati postojanje i funkcioniranje pouzdanih poslovnih procesa. Upravni odbori i odbori za reviziju imaju nadzornu ulogu kako bi odredili da su implementirani odgovarajući procesi upravljanja rizicima te da su ti procesi adekvatni i djelotvorni. Viši menadžment i odbor su odgovorni za upravljanje rizicima njihove organizacije i za procese kontrole. Međutim, interni revizori koji djeluju u konzultacijskoj ulozi mogu pomoći organizaciji u identificiranju, vrednovanju i implementaciji metodologija upravljanja rizicima i kontrolama za suzbijanje tih rizika.
2. Razvoj procjena i izvješća o procesima upravljanja rizicima organizacije obično imaju visoki prioritet. Vrednovanje procesa rizika višeg menadžmenta razlikuje se od zahtjeva da revizori koriste analizu rizika kako bi planirali revizije. Međutim, informacije iz opsežnog procesa upravljanja rizicima, uključujući identifikaciju briga višeg menadžmenta i odbora mogu pomoći internom revizoru u planiranju aktivnosti revizije.
222
Okvir profesionalnog djelovanja
3. Svaka organizacija može odabrati posebnu metodologiju kako bi implementirala procese upravljanja rizicima. Interni revizor trebao bi ustanoviti razumiju li metodologiju ključne grupe ili pojedinci uključeni u upravljanje tvrtkom, uključujući upravni odbor i odbor za reviziju. Interni revizori moraju zadovoljiti sebe u uvjerenju da se procesi upravljanja rizicima organizacije bave s pet ključnih ciljeva kako bi formulirali mišljenje o cjelokupnoj adekvatnosti procesa upravljanja rizicima. Pet ključnih ciljeva procesa upravljanja rizicima su:• rizici koji proizlaze iz poslovnih strategija i aktivnosti identificiraju se i čine
prioritetom• viši menadžment i odbor su utvrdili razinu rizika koja je prihvatljiva organizaciji,
uključujući prihvaćanje rizika stvorenog za postizanje strateških planova organizacije
• aktivnosti ublažavanja rizika su stvorene i implementirane da smanje ili pak upravljaju rizicima na razinama za koje je utvrđeno da su prihvatljive višem rukovodstvo i odboru
• tekuće aktivnosti praćenja provode se kako bi se povremeno ponovno procijenili rizici i učinkovitost kontrola i upravljalo rizicima
• viši menadžment i odbor primaju povremene izvještaje rezultata procesa upravljanja rizicima; procesi korporativnog upravljanja organizacije trebali bi povremeno davati dioničarima izvješća o rizicima, strategijama rizika i kontrolama.
4. Interni revizori trebali bi prepoznati kako je moguće postojanje značajnih varijacija u tehnikama koje koriste različite organizacije za svoju praksu upravljanja rizicima. Procesi upravljanja rizicima trebali bi biti osmišljeni za prirodu aktivnosti organizacije. Ovisno o veličini i kompleksnosti poslovnih aktivnosti organizacije, procesi upravljanja rizicima mogu biti:• formalni ili neformalni• kvantitativni ili subjektivni• uklopljeni u poslovne jedinice ili centralizirani na korporativnoj razini.
Posebni procesi koje koristi organizacija moraju se slagati s kulturom organizacije, stilom upravljanja i poslovnim ciljevima. Na primjer, korištenje derivata ili drugih sofisticiranih tržišnih proizvoda od strane organizacije zahtijevalo bi korištenje kvantitativnih alata za upravljanje rizicima. Manje, ne toliko složene organizacije mogu koristiti neformalni odbor za rizike kako bi raspravile profil rizika organizacije i inicirale povremeno djelovanje. Revizor bi trebao odrediti da je odabrana metodologija i opsežna i odgovarajuća za prirodu aktivnosti organizacije.
5. Interni revizori bi trebali doći do dovoljnih dokaza za spoznaju da je ispunjeno pet ključnih ciljeva kako bi formirali mišljenje o adekvatnosti procesa upravljanja rizicima. Kod prikupljanja tih dokaza, interni revizor bi trebao razmotriti sljedeće tipove postupaka revizije:
223
Preporuke za rad
• Istraživanje i pregled referentnog materijala i pozadinskih informacija o metodologijama upravljanja rizicima kao temelj za procjenu o tome jesu li procesi koje organizacija koristi odgovarajući ili nisu te predstavljaju li najbolju praksu za sektor.
• Istraživanje i pregled aktualnih razvoja, trendova, informacija iz sektora koje se odnose na posao koji provodi organizacija te drugi prikladni izvori informacija kako bi se odredili rizici i izlaganja koja mogu utjecati na organizaciju i povezane postupke kontrole koje se koristi za bavljenje, praćenje i ponovnu procjenu tih rizika.
• Pregledati korporativne mjere, upravni odbor i odbor za reviziju kako bi se odredile poslovne strategije organizacije, filozofija i metodologija upravljanja rizicima, želja za rizikom te prihvaćanje rizika.
• Pregledati prethodna izvješća vrednovanja rizika od strane višeg menadžmenta, internih revizora, vanjskih revizora i svih drugih izvora koji su mogli izdati takve izvještaje.
• Provesti intervjue s linijskim i izvršnim menadžmentom kako bi se odredili ciljevi poslovne jedinice i ublažavanje rizika uprave te aktivnosti nadzora kontrole.
• Asimilirati informacije kako bi se neovisno utvrdila učinkovitost ublažavanja rizika, praćenja i izvještavanja o rizicima i srodne aktivnosti kontrole.
• Procijeniti prikladnost linija izvještavanja za aktivnosti praćenja rizika.• Pregledati adekvatnosti i pravodobnost izvještavanja o rezultatima upravljanja
rizicima.• Pregledati cjelovitost analize rizika uprave, djelovanje koje je poduzeto kako
bi se popravila pitanja koja su postavili procesi upravljanja rizicima i predložiti poboljšanja.
• Odrediti učinkovitost procesa samoprocjene uprave kroz opažanja, direktne testove kontrole i postupke praćenja, testirajući točnost informacija korištenih u aktivnostima praćenja i drugim odgovarajućim tehnikama.
• Pregledati pitanja povezana s rizicima koja bi mogla upućivati na slabosti u praksama upravljanja rizicima i, ako je prikladno, raspraviti s upravom i odborom za reviziju te upravnim odborom. Ako revizor smatra da je uprava prihvatila razinu rizika koja nije sukladna strategiji i mjerama upravljanja rizicima organizacije, ili koja se smatra neprihvatljivom za organizaciju, revizor bi se trebao obratiti Standardu 2600 o Prihvaćanju rizika uprave i svim drugim povezanim smjernicama za dodatni smjer.
224
Okvir profesionalnog djelovanja
Preporuka za rad 2110-2:Uloga interne revizije
u procesu poslovnog kontinuiteta
Tumačenje Standarda 2110 iz Međunarodnih standarda
za stručnu provedbu interne revizije
Povezani standard2100 - Priroda poslaAktivnost interne revizije trebala bi pomagati organizaciji identificirajući i vrednujući značajnu izloženost riziku i doprinoseći poboljšanju upravljanja rizicima i kontrolnim sustavima.
Priroda ovih preporuka za rad: interni revizori bi trebali razmotriti sljedeće prijedloge kada procjenjuju aktivnosti organizacije koje se odnose na poslovni kontinuitet. Potrebno je mnogo procesa koji trebaju osigurati kontinuitet organizacije nakon što dođe do katastrofe. Razvoj opsežnog plana počinje procjenom potencijalnog utjecaja i posljedica katastrofe i razumijevanjem rizika. (Cijeli proces osiguravanja poslovnog kontinuiteta će uz ostale stvari uključivati planove za poslovni kontinuitet i oporavak od katastrofe). Ove planove treba graditi, održavati, testirati i revidirati kako bi se osiguralo da to ostane prikladno za potrebe organizacije.
1. Smetnje poslovanja mogu proizlaziti iz prirodnih događaja i slučajnih ili namjernih kaznenih djela. Te smetnje mogu imati značajne financijske i poslovne posljedice. Revizori bi trebali procijeniti spremnost organizacije da se nosi s poslovnim prekidima. Opsežan plan trebao bi pružiti postupke hitnog odgovora, alternativne sustave komunikacije i objekte na lokaciji, sigurnosnu kopiju informacijskog sustava, oporavak od katastrofe, procjenu poslovnog utjecaja i planove nastavka, postupke za vraćanje komunalnih usluga i postupke održavanja za osiguravanje spremnosti organizacije u slučaju hitnosti ili nesreće.
2. Aktivnošću interne revizije trebao bi se procijeniti proces planiranja poslovnog kontinuiteta organizacije koji se redovito odvija kako bi se osiguralo da je viši menadžment svjestan stanja pripreme za katastrofu.
3. Mnoge organizacije ne očekuju prekid ili dugi zastoj normalnih poslovnih procesa i poslovanja zbog katastrofe ili nepredviđenog događaja. Mnogi poslovni stručnjaci kažu da pitanje nije hoće li se dogoditi katastrofa, nego kad će se dogoditi. Tijekom vremena organizacija će doživjeti događaj koji će rezultirati gubitkom informacija, pristupom imovini (materijalnoj ili nematerijalnoj) ili uslugama osoblja. Izlaganje tim tipovima rizika i planiranje poslovnog kontinuiteta je sastavni dio procesa upravljanja rizicima organizacije. Planiranje za budućnost je potrebno radi smanjivanja gubitka i
225
Preporuke za rad
osiguravanja kontinuiteta ključnih poslovnih funkcija organizacije. Navedeno može organizaciji omogućiti održavanje prihvatljive razine usluge dioničarima.
4. Ključan element poslovnog oporavka od katastrofe je postojanje opsežnog i aktualnog plana oporavka od katastrofe. Interni revizori mogu igrati ulogu u planiranju organizacije za plan oporavka od katastrofe. Aktivnost interne revizije može (a) pomoći s analizom rizika, (b) procijeniti dizajn i opsežnost plana nakon što je sastavljen i (c) provesti povremene angažmane uvjerenja kako bi se potvrdilo da se plan ažurira.
Planiranje
5. Organizacija se oslanja na interne revizore za analizu poslovanja i procjenu procesa upravljanja rizicima i kontrole. Interni revizori stječu razumijevanje cjelokupnog poslovanja i pojedinačnih funkcija te kako se one međusobno odnose. Ovo smješta aktivnost interne revizije kao vrijedni resurs u procjeni plana oporavka od katastrofe tijekom procesa formulacije.
6. Aktivnost interne revizije može pomoći s procjenom unutarnjeg i vanjskog okruženja organizacije. Unutarnji faktori koje se može razmatrati uključuju promjenu uprave i promjene informacijskih sustava, kontrola i glavnih projekata i programa. Vanjski faktori mogu uključivati promjene u vanjskom regulacijskom i poslovnom okruženju i promjene uvjeta tržišta i konkurencije, međunarodne financijske i gospodarske uvjete te tehnologije. Interni revizori mogu pomoći identificirati rizike koji uključuju ključne poslovne aktivnosti i čine funkcije za svrhe oporavka prioritetom.
Vrednovanje
7. Interni revizori mogu dati doprinos kao sudionici kod ostvarivanja ciljeva kada obavljaju reviziju predloženog poslovnog kontinuiteta i planova oporavka od katastrofe za dizajn, cjelovitost i cjelokupnu adekvatnost. Revizor može pregledati plan kako bi utvrdio da odražava poslovanje koje je uključeno i procijenjeno u procesu procjene rizika te sadrži dovoljno bojazni o internoj kontroli i propise. Opsežno znanje internog revizora o poslovanju organizacije i aplikacijama omogućava sudjelovanje tijekom razvojne faze plana poslovnog kontinuiteta vrednovanjem organizacije, opsežnosti i preporučenih djelovanja kako bi se upravljalo rizicima i održale djelotvorne kontrole tijekom razdoblja oporavka.
Povremeni angažmani uvjerenja
8. Interni revizori trebali bi povremeno obavljati reviziju poslovnog kontinuiteta i planova oporavka od katastrofe. Cilj revizije je verificirati adekvatnost planova za osiguranje pravovremenog nastavka poslovanja i procesa nakon nepovoljnih okolnosti, te odražavati aktualno okruženje poslovanja.
226
Okvir profesionalnog djelovanja
9. Poslovni kontinuitet i planovi oporavka od katastrofe mogu vrlo brzo zastarjeti. Hvatanje u koštac i odgovor na promjene je neizbježni dio upravljanja zadaćama. Smjena upravitelja i direktora i promjene u konfiguracijama sustava, sučeljima i softveru može imati veliki utjecaj na ove planove. Aktivnost interne revizije trebala bi pregledati plan oporavka kako bi utvrdila (a)je li strukturirano kako bi uključilo važne promjene koje će se dogoditi tijekom vremena i (b) o revidiranom planu obavijestit će se odgovarajući ljudi unutar i izvan organizacije.
10. Tijekom revizije interni revizori trebali bi razmotriti:• Jesu li planovi ažurirani? Postoje li postupci za ažuriranje planova?• Jesu li sve kritičke poslovne funkcije i sustavi pokriveni planovima? Ako nisu,
jesu li dokumentirani razlozi za propuste? • Jesu li svi planovi temeljeni na rizicima i potencijalnim posljedicama poslovnih
prekida?• Jesu li planovi u potpunosti dokumentirani i u skladu s organizacijskim mjerama
i postupcima? Jesu li dodijeljene funkcionalne odgovornosti?• Je li organizacija sposobna i spremna na implementiranje planova?• Jesu li planovi testirani i revidirani na temelju rezultata?• Jesu li planovi skladišteni na siguran i prikladan način? Je li lokacija i pristup
planovima poznata upravi? • Jesu li lokacije alternativnih objekata (rezervne lokacije) poznate
zaposlenicima?• Zahtijevaju li planovi koordinaciju s domaćim službama za hitnu intervenciju?
Uloga internog revizora nakon katastrofe
11. Postoji važna uloga koju interni revizori igraju odmah nakon što se dogodi katastrofa. Organizacija je ranjivija nakon što je došlo do katastrofe te se nastoji oporaviti. Tijekom tog razdoblja oporavka, interni revizori trebali bi nadzirati učinkovitost oporavka i kontrolu poslovanja. Aktivnost interne revizije trebala bi identificirati područja na kojima bi trebalo poboljšati interne kontrole i akcije ublažavanja te preporučiti poboljšanja poslovnom planu kontinuiteta subjekta. Interna revizija može također dati podršku tijekom aktivnosti oporavka.
12. Nakon katastrofe, obično u roku od nekoliko mjeseci, interni revizori mogu pomoći u identifikaciji naučenih lekcija iz katastrofa i operacija oporavka. Ta zapažanja i preporuke mogu poboljšati aktivnosti kako bi došlo do oporavka resursa i ažuriranja nove verzije plana poslovnog kontinuiteta.
13. U krajnjoj analizi viši menadžment utvrđuje stupanj uključenja internog revizora u poslovni kontinuitet i procese oporavka od katastrofe, s obzirom na njegovo znanje, vještine, neovisnost i objektivnost.
227
Preporuke za rad
Preporuka za rad 2120.A1-1:Ocjenjivanje i izvještavanje o procesima kontrole
Tumačenje Standarda 2120.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, interna revizija trebala bi evaluirati adekvatnost i učinkovitost kontrola koje obuhvaćaju upravljanje, poslovanje i informatičke sustave organizacije. To bi trebalo uključivati:• pouzdanost i cjelovitost financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• očuvanje imovine• sukladnost sa zakonima, propisima i ugovorima.
Priroda ove preporuke za rad: interni revizori trebali bi uzeti u obzir sljedeće smjernice kod ocjenjivanja učinkovitosti sustava kontrole organizacije i izvještavanja o toj procjeni višem menadžmentu i upravnom odboru. Revizorski rad obavljen tijekom godine trebao bi osigurati dovoljno informacija za izradu procjene sustava kontrole i formulaciju mišljenja.
1. Jedan od zadataka upravnog odbora je uspostaviti i održavati proces upravljanja organizacijom i dobiti potvrde o učinkovitosti upravljanja rizicima i procesima kontrole. Uloga višeg menadžmenta je nadgledati osnivanje, administraciju i procjenu tog sustava upravljanja rizicima i procesima kontrole. Svrha tog višeslojnog sustava procesa kontrole je podrška ljudima iz organizacije u upravljanju rizicima i postizanju utvrđenih i objavljenih ciljeva poduzeća. Preciznije, očekuje se da ti procesi kontrole osiguraju, između ostaloga, postojanje sljedećih uvjeta:• financijske i operativne informacije su pouzdane i cjelovite• aktivnosti se obavljaju učinkovito i postižu djelotvorne rezultate• imovina je očuvana• djelovanje i odluke organizacije su u skladu sa zakonima, propisima i ugovorima.
2. Jedna od odgovornosti menadžera organizacije je procjena procesa kontrole u njihovim pripadajućim područjima. Interni i vanjski revizori daju različite stupnjeve jamstava o stanju učinkovitosti procesa kontrole i upravljanja rizicima u određenim aktivnostima i funkcijama organizacije.
3. Viši menadžment i odbor, naravno, očekuju da glavni revizor obavi zadovoljavajuće revizorski posao te prikupi ostale informacije koje su na raspolaganju tijekom godine kako bi mogao formirati mišljenje o adekvatnosti i učinkovitosti upravljanja rizicima
228
Okvir profesionalnog djelovanja
i procesima kontrole. Glavni revizor treba priopćiti takvo sveukupno mišljenje o procesu upravljanja rizicima organizacije i sustavu kontrole višem menadžmentu i odboru za reviziju. Sve veći broj organizacija uključuje izvještaj uprave o procesima upravljanja rizicima i sustavu interne kontrole u svoja godišnja ili periodična izvješća vanjskim zainteresiranim stranama.
4. Glavni revizor treba normalno razviti predloženi plan revizije za sljedeću godinu što osigurava nabavu dovoljno dokaza za procjenu učinkovitosti upravljanja rizicima i procesima kontrole. Plan bi trebao zahtijevati angažman revizije ili druge procedure kojima bi se prikupile relevantne informacije o svim većim radnim jedinicama i poslovnim funkcijama. Trebao bi uključivati pregled glavnih procesa upravljanja rizicima koji se provode u organizaciji te izbor ključnih rizika koji su utvrđeni u tim procesima. Revizijski plan bi također trebao posebno razmotriti one aktivnosti na koje su nedavne ili očekivane promjene najviše utjecale. Te promjene okolnosti mogu biti rezultat uvjeta na tržištu ili uvjeta ulaganja, akvizicija i prodaje ili restrukturiranja i novih poduhvata. Predloženi plan treba biti fleksibilan tako da se tijekom godine mogu raditi prilagodbe kao rezultat promjena strategije upravljanja, vanjskih uvjeta, područja velikog rizika ili revidiranih očekivanja o postizanju ciljeva organizacije.
5. U utvrđivanju predloženog revizijskog plana, glavni revizor bi trebao uzeti u obzir relevantan rad koji će obaviti drugi. Kako bi smanjio ponavljanje i neučinkovitost, treba uzeti u obzir posao koji je planiran ili nedavno obavljen od strane uprave u području procjene procesa upravljanja rizicima, kontrolama i procesima poboljšanja kvalitete, kao i posao planiran od strane vanjskih revizora radi određivanja očekivanog opsega koji će pokrivati revizijski plan za sljedeću godinu.
6. Naposljetku, glavni revizor bi trebao procijeniti opseg predloženog plana s dva stajališta: adekvatnost u svim tijelima organizacije i uključenost različitih vrsta transakcija i poslovnih procesa. Ako opseg predloženog revizijskog plana nije dovoljan za iskazivanje povjerenja u procese upravljanja rizicima i kontrole, glavni revizor bi trebao obavijestiti viši menadžment i odbor o očekivanim nedostatcima, njihovim uzrocima i vjerojatnim posljedicama.
7. Izazov za internu reviziju je procijeniti učinkovitost sustava upravljanja rizicima i kontrole organizacije na temelju prikupljanja mnoštva individualnih procjena. Te procjene se većinom dobivaju angažmanom interne revizije, samoprocjenom uprave i na temelju rada vanjskog revizora. Tijekom rada interni revizori bi trebali redovno prenositi svoje nalaze odgovarajućim razinama uprave kako bi se mogle poduzeti hitre akcije za ispravljanje ili ublažavanje posljedica otkrivenih odstupanja ili slabosti.
8. Tri ključna kriterija u dolasku do ocjene sveukupne učinkovitosti upravljanja rizicima organizacije i procesa kontrole su:• Jesu li prilikom revizije pronađena značajna odstupanja ili slabosti te prikupljene
druge informacije za ocjenu?
229
Preporuke za rad
• Ako jesu, jesu li napravljene ispravke ili poboljšanja nakon otkrića?• Dovode li otkrića i njihove posljedice do zaključka o postojanju prevladavajućeg
stanja čiji je rezultat neprihvatljiva razina poslovnog rizika? Privremeno postojanje značajnog odstupanja ili slabosti u upravljanju rizicima
i kontroli ne dovodi nužno do ocjene da su one rasprostranjene i da predstavljaju neprihvatljiv preostali rizik. Model otkrića, stupanj prodora i razina posljedica i izlaganja čimbenici su koje treba uzeti u obzir kod utvrđivanja je li učinkovitost cjelokupnog sustava kontrole ugrožena te postoje li neprihvatljivi rizici.
9. Izvješće glavnog revizora o stanju procesa upravljanja rizicima i kontrole organizacije trebalo bi prezentirati, obično jednom godišnje, višem menadžmentu i odboru. Izvješće bi trebalo naglašavati važnu ulogu koju procesi upravljanja rizicima i kontrole igraju u potrazi za ciljevima organizacije i trebalo bi se referirati na veliki posao koji je obavila interna revizija te na druge važne izvore informacija koji su korišteni pri formulaciji sveukupne prosudbe o sigurnosti. Dio izvješća u kojem se nalazi mišljenje obično je izražen u obliku negativne tvrdnje; tj. revizijski rad obavljen za zadano razdoblje te ostale prikupljene informacije nisu otkrili nikakve značajne slabosti u procesima upravljanja rizicima i kontrole koji bi imali rasprostranjen učinak. Ako su nedostatci ili slabosti upravljanja rizicima i kontrole značajni i rasprostranjeni, dio izvješća koji daje mišljenje može biti uvjetno ili nepovoljno mišljenje ovisno o predviđenom porastu razine preostalog rizika i njegovu utjecaju na ciljeve organizacije.
10. Ciljna publika godišnjih izvješća su viši rukovodioci i članovi odbora. Budući da navedeni čitatelji imaju nepodudarna shvaćanja revizije i poslovanja, godišnje izvješće glavnog revizora treba biti jasno, sažeto i informativno. Trebalo bi biti sastavljeno i uređeno tako da ga oni razumiju te ciljano tako da zadovolji njihove potrebe za informacijama. Njegova vrijednost za navedene čitatelje može se poboljšati fokusiranjem na glavna područja rizika te uključivanjem važnijih preporuka za unapređenje i informacije o trenutnim problemima i trendovima kontrole, poput izlaganja sigurnosti tehnologije i informacija, modela odstupanja ili slabosti kontrole u poslovnim jedinicama te potencijalnih poteškoća u poštivanju zakona i propisa.
11. Postoji mnogo dokaza o „jazu očekivanja“ koji prati aktivnost interne revizije u ocjenjivanju i davanju uvjerenja o stanju procesa upravljanja rizicima i kontrole. Jedan takav jaz postoji između obično visokih očekivanja odbora i uprave vezano uz vrijednost usluga interne revizije i skromnijih očekivanja internog revizora koja proizlaze iz poznavanja praktičnih ograničenja opsega revizije i sumnje u vlastitu mogućnost prikupljanja dovoljne količine dokaza koji bi poduprli informiranu i objektivnu prosudbu. Glavni revizor treba imati na umu mogući jaz između onoga što čitatelj izvješća pretpostavlja i onoga što se stvarno dogodilo tijekom godine. On ili ona bi trebao/la koristiti izvješće kao još jedan način obraćanja različitim mentalnim modelima i predlaganja unapređenja kapaciteta funkcije ili smanjenja ograničenja pristupa i učinkovitosti revizije.
230
Okvir profesionalnog djelovanja
Preporuka za rad 2120.A1-2:Korištenje samoprocjenjivanja kontrole za procjenu adekvatnosti procesa
kontrole
Tumačenje Standarda 2120.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2120.A1 – na temelju rezultata procjene rizika, interna revizija treba ocijeniti adekvatnost i učinkovitost kontrola koje obuhvaćaju upravljanje organizacijom, poslovanje i informacijske sustave. To bi trebalo uključivati:• pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i djelotvornost poslovanja• očuvanje imovine• sukladnost sa zakonima, propisima i ugovorima.
Priroda ove preporuke za rad: metodologiju Samoprocjenjivanja kontrole (CSA – Control Self-Assessment) mogu koristiti menadžeri i interni revizori za ocjenu adekvatnosti procesa upravljanja rizicima i kontrole u organizaciji. Interni revizori mogu koristiti CSA programe za prikupljanje relevantnih informacija o rizicima i kontrolama, za fokusiranje plana revizije na visokorizična, neobična područja te za postizanje šire suradnje s nižim menadžerima i radnim timovima.
1. Viši menadžment je zadužen za nadgledanje sustava, administraciju i procjenu procesa upravljanja rizicima i kontrole. Odgovornosti nižih menadžera su procjena rizika i kontrole unutar njihovih jedinica. Interni i vanjski revizori daju različite stupnjeve uvjerenja o stanju učinkovitosti procesa upravljanja rizicima i kontrole u organizaciji. I menadžerima i revizorima je u interesu koristiti tehnike i alate koji izoštravaju fokus te šire napore procjene procesa upravljanja rizicima i kontrole koji se primjenjuju te pronalaska načina poboljšanja svoje učinkovitosti.
2. Metodologija koja obuhvaća preglede samoprocjenjivanja i omogućene radionice pod nazivom CSA, koristan je i učinkovit način pristupa za menadžere i interne revizore kako bi surađivali u procjeni i vrednovanju procedura kontrole. U svom najčišćem obliku CSA integrira poslovne ciljeve i rizike s procesima kontrole. Samoprocjenjivanje kontrole također se naziva Samoprocjenjivanje kontrole/rizika (CRSA – Control/risk self-assessment). Iako korisnici CSA upotrebljavaju mnogo različitih tehnika i formata, većina korištenih programa ima zajedničke neke ključne osobine i ciljeve. Organizacija koja koristi samoprocjenivanje ima formalan, dokumentiran proces koji omogućava
231
Preporuke za rad
upravi i radnim timovima koji su direktno uključeni u poslovnu jedinicu, funkciju ili proces sudjelovanje na strukturiran način u svrhu:• identificiranja rizika i izlaganja rizicima• procjene procesa kontrole koji ublažavaju ili upravljaju tim rizicima• razvijanja plana akcije radi smanjenja rizika na prihvatljivu razinu• utvrđivanje vjerojatnosti postizanja poslovnih ciljeva.
3. Rezultati koji mogu proisteći iz metodologija samoprocjenjivanja su:• ljudi u poslovnim jedinicama postaju obučeni i iskusni u procjeni rizika i povezivanju
procesa kontrole s upravljanjem tim rizicima i poboljšanju izgleda za postizanje poslovnih ciljeva
• neformalne „meke“ kontrole je lakše identificirati i procijeniti• ljudi su motivirani da preuzmu "posjed“ nad procesima kontrole u svojim
jedinicama, a korektivne mjere koje poduzimaju radni timovi često su učinkovitije i pravovremenije
• cjelokupna infrastruktura ciljevi-rizici-kontrole organizacije podložna je većem nadzoru i stalnom usavršavanju
• interni revizori se uključuju i upoznaju proces samoprocjenjivanja tako što omogućavaju, služe kao zapisničari i reporteri za radne timove te kao edukatori o pojmovima rizika i kontrole koji podržavaju program CSA
• interna revizija stječe više informacija o procesima kontrole unutar organizacije te može iskoristiti te dodatne informacije raspodjelom oskudnih resursa kako bi mogla uložiti veći trud u istraživanje i provođenje testiranja poslovnih jedinica ili funkcija koje imaju bitne slabosti u kontroli ili visoke preostale rizike
• odgovornost uprave za upravljanje rizicima i procesima kontrole osnažuje se unutar organizacije, a menadžeri će biti u manjem iskušenju da prepuste te aktivnosti stručnjacima, poput revizora
• prvenstvena uloga interne revizije i dalje će uključivati validaciju procesa vrednovanja provođenjem testova i iskazivanje profesionalnog mišljenja o adekvatnosti i učinkovitosti cjelokupnog sustava upravljanja rizicima i kontrole.
4. Široka lepeza pristupa primijenjenih za CSA procese u organizaciji odražava razlike u industriji, geografiji, strukturi, organizacijskoj kulturi, stupnju ovlaštenja zaposlenika, dominantnom stilu upravljanja i načinu formuliranja strategija i politika. To zapažanje sugerira da se uspjeh određene vrste CSA programa u jednom poduzeću možda neće ponoviti u drugoj organizaciji. To također sugerira kako pristup CSA zahtijeva dinamiku i promjene zajedno s kontinuiranim razvojem organizacije.
5. Tri primarna oblika CSA programa su omogućene timske radionice, ispitivanja i analize izrađene od strane uprave. Organizacije često kombiniraju više od jednog pristupa.
6. Timske radionice prikupljaju informacije od radnih timova koji predstavljaju različite razine u poslovnoj jedinici ili funkciji. Format radionice može se temeljiti na ciljevima, rizicima, kontrolama ili procesima.
232
Okvir profesionalnog djelovanja
• Format temeljen na objektivnosti fokusira se na najbolji način postizanja poslovnog cilja. Radionica počinje utvrđivanjem kontrola koje se trenutno primjenjuju kao podrška cilju, a zatim se određuje preostali rizik. Cilj radionice je odlučiti jesu li procesi kontrole učinkoviti i rezultiraju li preostalim rizikom u prihvatljivim okvirima.
• Format temeljen na riziku fokusira se na navođenje rizika u postizanju cilja. Radionica započinje nabrajanjem svih mogućih barijera, prepreka, prijetnji i izlaganja rizicima koji bi mogli spriječiti postizanje cilja te zatim ispitivanjem procedura kontrole radi utvrđivanja jesu li dovoljne za upravljanje ključnim rizicima. Cilj radionice je odrediti značajne preostale rizike. Ovaj format provodi radni tim kroz cijelu formulu ciljeva-rizika-kontrola.
• Format temeljen na kontroli fokusira se na to koliko dobro vrijedeće kontrole funkcioniraju. Ovaj format je različit od gornja dva jer organizator utvrđuje ključne rizike i kontrole prije početka radionice. Za vrijeme trajanja radionice radni tim procjenjuje koliko dobro kontrole ublažuju rizike i omogućavaju postizanje ciljeva. Cilj radionice je izraditi analizu jaza između onoga kako kontrole funkcioniraju i kako dobro uprava očekuje da one funkcioniraju.
• Format temeljen na procesu fokusira se na odabrane aktivnosti koje su elementi lanca procesa. Procesi su obično serije povezanih aktivnosti koje se kreću od neke početne točke prema kraju, poput raznih koraka u kupnji, razvoju proizvoda ili generiranju prihoda. Ta vrsta radionice obično pokriva utvrđivanje ciljeva cijelog procesa i različitih prijelaznih faza procesa. Cilj radionice je procijeniti, ažurirati, potvrditi, usavršiti i usmjeriti cijeli proces i njegove sastavne aktivnosti. Ovaj format radionice može imati širi opseg analize od pristupa temeljenog na kontroli tako što pokriva više ciljeva unutar procesa i podržava istodobne napore uprave poput reinženjeringa, poboljšanja kvalitete i konstantnih inicijativa za usavršavanjem.
7. Obrazac CSA za ispitivanje koristi upitnik koji uglavnom postavlja jednostavna pitanja tipa "da-ne" ili „ima-nema" koja su pažljivo napisana kako bi ih ciljna publika mogla razumjeti. Ispitivanja se često koriste ako je broj željenih ispitanika prevelik ili su previše raspršeni da bi sudjelovali u radionici. To je također preferirana opcija ako kultura organizacije sprječava otvorene, iskrene rasprave u okruženju radionice ili ako uprava želi smanjiti provedeno vrijeme i nastale troškove u prikupljanju informacija.
8. Oblik samoprocjenjivanja zvan „analiza izrađena od strane uprave“, pokriva većinu ostalih pristupa grupa uprave za pripremu informacija o odabranim poslovnim procesima, aktivnostima upravljanja rizicima i procedurama kontrole. Analiza često treba dovesti do obaviještene i pravovremene prosudbe o specifičnim karakteristikama procedura kontrole te ju obično priprema tim u ulozi osoblja ili podrške. Interni revizor treba sintetizirati tu analizu s drugim informacijama kako bi poboljšao razumijevanje kontrola i podijelio znanje s menadžerima u poslovnim ili funkcionalnim jedinicama u sklopu CSA programa organizacije.
233
Preporuke za rad
9. Svi programi samoprocjenjivanja temelje se na menadžerima i članovima radnih timova koji razumiju koncepte rizika i kontrole te koriste te koncepte u komunikaciji. Za edukacijske sesije, radi olakšanog tijeka rasprava u radionici i kao provjera potpunosti sveukupnog procesa, organizacije često koriste kontrolni okvir poput modela COSO i COCO.
10. U tipičnim radionicama CSA izvješće će biti uglavnom izrađeno za vrijeme rasprave. Grupni konsenzus će biti zabilježen za različite segmente diskusije, a grupa će pregledati predloženo konačno izvješće prije kraja zadnje sesije. Neki programi će koristiti tehnike anonimnog glasovanja kako bi osigurali slobodan protok informacija i stajališta za vrijeme trajanja radionica i pomoći u pregovorima o razlikama između stajališta i interesnih grupa.
11. Ulog interne revizije u neke programe CSA je znatan. On može sponzorirati, dizajnirati, provoditi i čak posjedovati proces, provoditi obuku, angažirati potrebne ljude, zapisničare i reportere te organizirati sudjelovanje uprave i radnih timova. U drugim programima CSA, sudjelovanje internog revizora je minimalno, on je zainteresirana strana i konzultant u cjelokupnom procesu i krajnji verifikator procjena koje su dali timovi. U većini programa ulog interne revizije u napore organizacije u sklopu programa CSA je između dva gore navedena ekstrema. Kako se razina angažiranosti internog revizora u program CSA i individualne rasprave na radionicama povećava, glavni revizor bi trebao pratiti objektivnost osoblja interne revizije, poduzimati korake radi kontrole nad objektivnošću (prema potrebi) i povećati ispitivanje interne revizije kako bi osigurao da predrasude ili preferencije ne utječu na konačnu prosudbu osoblja. Standard 1120 navodi: „Interni revizori moraju biti nepristrani, objektivni i moraju izbjegavati sukobe interesa.“
12. Program CSA povećava tradicionalnu ulogu interne revizije tako što pomaže upravi ispuniti odgovornosti za uspostavljanje i održavanje upravljanja rizicima i procesa kontrole i za procjenjivanje adekvatnosti tog sustava. Kroz program CSA interna revizija te poslovne jedinice i funkcije surađuju s ciljem osiguravanja bolje obaviještenosti o tome koliko dobro procesi kontrole funkcioniraju te koliko su značajni preostali rizici.
13. Iako osiguravanje podrške osoblja za program CSA u ulozi organizatora i stručnjaka, interna revizija često smatra da može smanjiti trud uložen u prikupljanje informacija o procedurama kontrole i eliminirati neka testiranja. Program CSA treba povećati opseg procjene kontrolnih procesa unutar organizacije, poboljšati kvalitetu korektivnih mjera koje obavljaju vlasnici procesa te fokusirati rad interne revizije na pregledavanje procesa visokog rizika i neobičnih situacija. Može se fokusirati na potvrđivanje zaključaka vrednovanja koji su rezultat CSA procesa, sintetiziranje informacija prikupljenih iz komponenti organizacije i izražavanje svoje sveukupne prosudbe o učinkovitosti kontrola višem menadžmentu i odboru za reviziju.
234
Okvir profesionalnog djelovanja
Preporuka za rad 2120.A1-3:Uloga interne revizije u kvartalnom financijskom izvještavanju,
priopćenjima i ovjerama rukovodstva
Tumačenje Standarda 2120.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, aktivnost interne revizije treba procjenjivati adekvatnost i učinkovitost kontrola koje prate vođenje organizacije, aktivnosti i informacijske sustave. To treba uključivati: • pouzdanost i integritet financijskih i radnih informacija• učinkovitost i produktivnost operacija • očuvanje sigurnosti imovine• usklađenost sa zakonima, regulacijama i ugovorima.
Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeću smjernicu obzirom na kvartalne financijske izvještaje, priopćenja i ovjere rukovodstva koji se odnose na zahtjeve SEC-a (Komisija za vrijednosne papire i burzu SAD-a). Dok su ti zahtjevi specifično upućeni na tijela registrirana pri SEC-u, oni su također primjenjivi i na preko 1300 stranih registriranih tijela. Kako bi se ostvarila viša razina povjerenja prema dioničarima, sve veći broj nevladinih organizacija dobrovoljno usvaja odabrane SEC zahtjeve kako bi pokazale najbolju praksu za priopćenja i kontrole obzirom na kvartalno izvještavanje. Interni revizori se također usmjeravaju na Preporuku za rad 2120.A1 «Procjena i izvještavanje procesa kontrole» za dodatne smjernice.
1. Snaga svih financijskih tržišta ovisi o povjerenju ulagača. Slučajevi koji uključuju navode o nepravilnom postupanju korporacijskih direktora, nezavisnih revizora i ostalih sudionika tržišta, umanjili su to povjerenje. Kao odgovor na tu prijetnju, Američki kongres i sve veći broj zakonodavnih tijela i regulacijskih zavoda u ostalim zemljama donijeli su zakone i regulative koji se odnose na korporacijska priopćenja i financijsko izvještavanje. Posebno u SAD-u, Sarbanes-Oxleyev zakon iz 2002. donio je oštru reformu koja je zahtijevala dodatna priopćenja i ovjere financijskih izvještaja od strane glavnog direktora i financijskih direktora.
2. Novi zakon stavlja poduzeća pred izazov da osmisle procese koji će omogućiti vodećim dužnosnicima da dobiju potrebna uvjerenja na kojima bi temeljili svoju osobnu ovjeru. Ključna komponenta procesa ovjeravanja je upravljanje rizikom i interna kontrola nad bilježenjem i sažimanjem financijskih podataka.
235
Preporuke za rad
Novi statutarni zahtjevi
3. Odjeljak 302 Sarbanes-Oxleyevog zakona ističe korporativnu odgovornost za financijske izvještaje, a SEC je izdao smjernice kako bi se implementirao zakon. Kako je usvojen, SEC pravila 13a-14 i 15d-14 zahtijevaju da glavni izvršni dužnosnik izdavatelja ili dužnosnici i glavni financijski dužnosnik ili dužnosnici ili osobe koje obavljaju slične funkcije, potvrde u svakom kvartalnom i godišnjem izvještaju, uključujući tranzicijske izvještaje, evidentirano ili predano od strane izdavatelja pod odjeljkom 13 (a) ili 15 (d) Zakona o burzi, sljedeće:
• kako su on ili ona pregledali izvještaj• na temelju njegovog ili njezinog saznanja izvještaj ne sadrži neistinite tvrdnje
materijalnih činjenica te ne izostavlja materijalne činjenice koje su potrebne da bi se napravio izvještaj, u svjetlu okolnosti po kojima se takvi izvještaji sastavljaju, da nije nejasan obzirom na razdoblje koje izvještaj pokriva
• na temelju njegovog ili njezinog saznanja financijski navodi i ostali financijski podaci uključeni u izvještaj ispravno prikazuju u svakom materijalnom pogledu financijsko stanje, rezultate operacija i opticaj sredstava izdavatelja za razdoblja koja su prikazana u izvještaju
• kako su on ili ona i ostali službenici koji daju potvrdu: -odgovorni za uspostavljanje i održavanje «kontrola priopćenja i procedura»
(novo definirani termin koji odražava koncept kontrola i procedura vezanih uz priopćenje utjelovljeno u odjeljku 302 (a) (4) Zakona za izdavatelja
-osmislili takve kontrole objave i procedure kako bi osigurali da su im poznati materijalni podaci, posebno tijekom razdoblja u kojem se priprema periodički izvještaj
-procijenili učinkovitost kontrola priopćenja i procedura izdavatelja od datuma unutar 90 dana prije datuma arhiviranja izvještaja
-naveli u izvještaju svoje zaključke o učinkovitosti kontrola priopćenja i procedura na temelju potrebne procjene od tog datuma
• kako su on ili ona i ostali službenici koji daju potvrdu objavili revizorima izdavatelja i odboru za reviziju upravnog odbora (ili osobama koje obavljaju ekvivalentnu funkciju):
-sve bitne nedostatke u konceptu ili operaciji internih kontrola (prvobitni termin koji se odnosi na interne kontrole obzirom na financijsko izvještavanje) koji bi mogli negativno djelovati na sposobnost izdavatelja da bilježi, obrađuje, sažima i prijavljuje financijske podatke te su za revizore izdavatelja identificirali sve materijalne nedostatke u internim kontrolama
-bilo kakvu prijevaru, materijalnu ili drugačiju, koja uključuje rukovodstvo ili ostale djelatnike koji imaju bitnu ulogu u internoj kontroli izdavatelja
- je li ili nije bilo znatnih promjena u internoj kontroli ili ostalim faktorima koji bi značajno utjecali na internu kontrolu nakon datuma njihove procjene, uključujući sve korektivne radnje obzirom na znatne nedostatke ili materijalne deficite.
236
Okvir profesionalnog djelovanja
Preporučene radnje za interne revizore
4. Sljedeće radnje i razmatranja ponuđeni su internim revizorima kao usluge dodatne vrijednosti koje se mogu dobiti obzirom na kvartalne financijske izvještaje, priopćenja i ovjere rukovodstva vezano uz zahtjeve SEC-a i Sarbanes-Oxleyevog zakona. Te preporučene radnje su također ponuđene kao najbolja praksa za privatna poduzeća i ostale organizacije koje žele usvojiti slične procese za kvartalno financijsko izvještavanje.
a. Uloga internog revizora u takvim procesima može biti od inicijalnog dizajnera procesa, sudionika u komisiji za objavu, koordinatora ili veze između rukovodstva i njegovih revizora pa do nezavisnog procjenitelja procesa.
b. Svi interni revizori uključeni u kvartalno izvještavanje i procese objave trebaju imati jasno definiranu ulogu i procijeniti odgovornosti prema odgovarajućem IIA konzaltingom i Standardima za jamstvo te smjernicama koje su sadržane u dotičnim Preporukama za rad.
c. Interni revizori trebaju osigurati da organizacije imaju službene pravilnike i dokumentirane procedure za vođenje procesa za kvartalne financijske izvještaje, povezane objave i regulacijske zahtjeve za prijavu. Ispravna kontrola svih pravilnika i procedura od strane pravnika, vanjskih revizora i ostalih stručnjaka može predstavljati dodatnu potvrdu da su pravilnici i procedure sveobuhvatni i da točno odražavaju primjenjive zahtjeve.
d. Interni revizori moraju poticati organizacije da oforme «komisije za priopćenja» koje koordiniraju proces i pružaju pregled sudionicima. Predstavnici ključnih područja organizacije trebaju biti u komisiji, uključujući ključne menadžere financija, pravne savjetnike, upravljanje rizicima, internu reviziju i sva područja koja daju ulazne informacije i podatke za regularna evidentiranja i priopćenja. Obično glavni revizor treba biti član komisije za objavu. Potrebno je uzeti u obzir status glavnog revizora u komisiji. Glavni revizori koji predsjedaju komisijom ili su regularni ili «glasački» članovi trebaju voditi računa o neovisnosti te im se savjetuje pregledavanje Standarda IIA-e i povezanih Preporuka za rad u kojima će pronaći smjernice i potrebne informacije. Status «po službenoj dužnosti»člana obično ne stvara probleme sa samostalnošću.
e. Interni revizori trebaju periodički pregledati i ocijeniti kvartalno izvještavanje i procese priopćenja, aktivnosti komisije za priopćenja te povezanu dokumentaciju te rukovodstvu i odboru za reviziju dati procjenu procesa i potvrdu vezanu uz ukupne radnje i poštovanje pravilnika i procedura. Interni revizori čija je nezavisnost umanjena zbog dodijeljene im uloge u procesu, trebaju osigurati da rukovodstvo i odbor za reviziju mogu dobiti odgovarajuću potvrdu o procesu iz drugih izvora. Ostali izvori mogu uključivati interne samoprocjene te treće strane kao što su vanjski revizori i konzultanti.
237
Preporuke za rad
f. Interni revizori trebaju preporučiti odgovarajuća poboljšanja pravilnika, procedura i procesa za kvartalno izvještavanje i povezana priopćenja na temelju rezultata procjene povezanih aktivnosti. Preporučena najbolja praksa za takve aktivnosti može uključivati sve ili dijelove sljedećih sredstava i procedura, ovisno o specifičnom procesu koji koristi svaka pojedina organizacija:- ispravno dokumentirane pravilnike, procedure, kontrole i nadzorne izvještaje- kvartalni popis procedura i ključnih kontrolnih elemenata- standardizirane kontrolne izvještaje o kontrolama ključne objave- samoprocjene rukovodstva (kao CSA)- odjave ili potvrde reprezentacije od ključnih menadžera- kontrole nacrtnih regulatornih evidencija prije predavanja- mape procesa za dokumentiranje izvora podatkovnih elemenata za regulatorna
evidentiranja, ključne kontrole i odgovorne strane za svaki element- nastavak na prethodno prijavljene nepodmirene stavke- razmatranje internih revizijskih izvještaja izdanih tijekom dotičnog razdoblja- specijalne ili specifično ciljane kontrole visokorizičnih, kompleksnih i
problematičnih područja; uključujući elemente materijalnog računovodstva, procjene rezervi, izvanbilančne aktivnosti, glavne podružnice, združeni pothvati i tijela specijalne svrhe
- poštivanje «zaključnog procesa» za financijske izjave i povezane prilagodbene unose, uključujući odgođene prilagodbe
- konferencijski pozivi s ključnim rukovodstvom iz dalekih lokacija kako bi se osiguralo da se pravilno uzimaju u obzir te da su uključene sve glavne komponente organizacije
- kontrole potencijalnih i neriješenih parnica te kontingentnih obveza - CAE izvještaj o internoj kontroli, izdan barem jednom godišnje te kvartalno, ako
je moguće- redovito zakazana priopćenja i sastanci odbora za reviziju.
g. Interni revizori trebaju usporediti procese za poštivanje odjeljka 302 Sarbanes-Oxleyevog zakona (kvartalno financijsko izvještavanje i objave) s procedurama razvijenim za usklađenost s odjeljkom 404 obzirom na godišnju procjenu rukovodstva i javni izvještaj o internim kontrolama. Procesi koji su razvijeni kako bi bili slični ili kompatibilni pridonijet će operativnim učinkovitostima i smanjiti vjerojatnost ili rizik za probleme i pogreške koje se pojavljuju ili prolaze neprimijećene. Dok procesi i procedure mogu biti slični, moguće je da se uloga internog revizora može mijenjati. U nekim organizacijama rad internih revizora može predstavljati osnovu za tvrdnje rukovodstva o internoj kontroli, dok se u drugim organizacijama interni revizori mogu pozvati kako bi ocijenili procjenu rukovodstva. - Priroda rada internog revizora i uporaba istog, može potencijalno utjecati na
postupak ili stupanj pouzdanja koji se stavlja na rad internog revizora od strane vanjskog revizora. Interni revizori trebaju osigurati razjašnjenje uloge svakog sudionika te koordinaciju aktivnosti i dogovor s rukovodstvom i vanjskim revizorima.
238
Okvir profesionalnog djelovanja
- U organizacijama gdje rukovodstvo samo provodi procjenu kontrole kao osnovu za mišljenje, interni revizori trebaju ocijeniti procjenu rukovodstva i popratnu dokumentaciju.
- Interni revizori trebaju procijeniti kako su klasificirani komentari izvještaja interne revizije te osigurati da se komentari, koji mogu biti podvrgnuti objavi u kvartalnim potvrdama ili godišnjem izvještaju o internim kontrolama, ispravno priopće rukovodstvu i odboru za reviziju. Posebnu pažnju treba obratiti kako bi se osiguralo da se takvi komentari adekvatno riješe na vrijeme.
239
Preporuke za rad
Preporuka za rad 2120.A1-4:Revizija procesa financijskog izvještavanja
Tumačenje Standarda 2120.A1 iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 2120.A1 – Na temelju rezultata procjene rizika, aktivnost interne revizije treba procjenjivati adekvatnost i učinkovitost kontrola koje prate vođenje organizacije, operacije i informacijske sustave. To treba uključivati: • pouzdanost i integritet financijskih i operativnih informacija• učinkovitost i produktivnost operacija • očuvanje sigurnosti imovine• usklađenost sa zakonima, regulacijama i ugovorima.
Priroda ove preporuke za rad: ova Preporuka za rad istražuje ulogu internog revizora i odgovornosti u procesu financijskog izvještavanja organizacije. Uloge višeg menadžmenta, vanjskih i internih revizora su:
• izvršni menadžment je vlasnik kontrolnog okruženja i financijskih informacija, uključujući bilješke koje prate financijske izjave i popratna priopćenja u financijskom izvještaju
• vanjski revizor potvrđuje korisniku financijskog izvještaja kako prikazane informacije istinito prikazuju financijsku situaciju i rezultate poslovanja određene organizacije u skladu s općenito prihvaćenim načelima računovodstva
• interni revizor obavlja procedure kako bi pružio razinu sigurnosti višem menadžmentu i odboru za reviziju ili nekom drugom odboru upravnog odbora da su kontrole, koje se odnose na proces vezan uz razvijanje financijskog izvještaja, učinkovite.
Preporuka za rad 2060-2, «Povezanost s odborom za reviziju», obuhvaća interakcije internog revizora s odborom za reviziju. Preporuka za rad 2120.A1-1 «Ocjenjivanje i izvještavanje o procesima kontrole», govori o dokazima potrebnim za procjenu sustava interne kontrole te sastavljanje mišljenja. Preporuka za rad 2120.A1-3, «Uloga interne revizije u kvartalnom financijskom izvještavanju, priopćenja i ovjerama rukovodstva» daje smjernice vezane uz zahtjeve Sarbanes-Oxleyevog zakona i povezanih pravila Komisije za vrijednosne papire i burzu SAD-a. Ova se preporuka za rad usredotočava na odnos internih revizora s višim menadžmentom i vanjskim revizorom vezano uz proces financijskog izvještavanja.
240
Okvir profesionalnog djelovanja
1. Objavljeni izvještaji o propustima korporativnog vodstva u SAD-u i ostalim zemljama naglašavaju potrebu za promjenom kako bi se postigla veća odgovornost i transparentnost od strane svih organizacija – profitnih, neprofitnih i vladinih. Viši menadžment, upravni odbori, interni revizori i vanjski revizori, predstavljaju okosnice temelja na kojima počiva učinkovito vođenje određene organizacije. Aktivnost interne revizije igra ključnu ulogu u podršci dobrom vođenju organizacije; ima jedinstven položaj u podršci poboljšavanja poslovanja organizacije putem procjene i poboljšanja učinkovitosti upravljanja rizicima, kontrole i procesa korporativnog upravljanja. Najnovije inicijative stavile su naglasak na potrebu da viši menadžment bude odgovorniji obzirom na informacije koje su sadržane u financijskim izvještajima organizacije. Viši menadžment i odbor za reviziju mnogih organizacija zahtijevaju dodatne usluge od interne revizije kako bi poboljšali vodstvo i procese financijskog izvještavanja. Ti zahtjevi uključuju procjene internih kontrola organizacije nad financijskim izvještavanjem te pouzdanost i integritet njihovih financijskih izvještaja.
Izvještavanje o internoj kontroli
2. Odbor za reviziju organizacije ili ostale komisije odbora te aktivnost interne revizije imaju zajedničke ciljeve. Temeljna uloga glavnog revizora je osigurati da odbor za reviziju prima usluge podrške i potvrde koje treba i zahtijeva. Jedan od primarnih ciljeva odbora za reviziju je pregledavanje procesa financijskog izvještavanja organizacije kako bi se osigurala njihova pouzdanost i istinitost. Odbor i viši menadžment obično zahtijevaju da aktivnost interne revizije obavi reviziju u dovoljnoj mjeri te prikupi ostale dostupne informacije tijekom godine kako bi se stvorilo mišljenje o adekvatnosti i učinkovitosti procesa interne kontrole. Glavni revizor obično odboru pravovremeno priopćava tu ukupnu procjenu. Odbor će procijeniti pokrivenosti i adekvatnost izvještaja glavnog revizora te može uključiti svoj zaključak u izvještaj odbora koji se šalje upravnom odboru.
3. Radni planovi i specifično jamstvo, koje obuhvaća aktivnost interne revizije, počinju s opreznom identifikacijom izloženosti s kojima je organizacija suočena, a radni plan interne revizije temelji se na rizicima i procjeni upravljanja rizicima i kontrolnim procesima podržanim od strane rukovodstva kako bi se smanjili ti rizici. Među događajima i transakcija koje su uključene u identifikaciju rizika su:
• novi poslovi – uključujući spajanja i akvizicije• novi proizvodi i sustavi• združeni pothvati i partnerstva• restrukturiranje• procjene, budžeti i prognoze rukovodstva• pitanja vezana uz okoliš• pridržavanje regulativa.
241
Preporuke za rad
Okvir za internu kontrolu
4. Procjena sustava interne kontrole organizacije treba uključivati široku definiciju kontrole. IIA smatra da je izvještaj Interna kontrola – integrirani okvir najučinkovitija smjernica za internu kontrolu, koja je danas dostupna, a objavljen je 1992. i 1994. od strane Odbor sponzorskih organizacija (COSO) povjerenstva Treadway. Upotreba COSO modela je široko prihvaćena, no može prikladno koristiti ostale priznate i vjerodostojne modele. Ponekad regulacijski ili zakonski zahtjevi specificiraju upotrebu određenog modela ili oblika kontrole za određenu organizaciju ili industriju u nekoj zemlji.
5. Nekoliko zaključaka u izvještaju Interna kontrola – integrirani okvir su relevantni za ovu raspravu. • Interna kontrola je široko definirana; nije ograničena na računovodstvene
kontrole te nije usko ograničena na financijsko izvještavanje. • Dok su računovodstveni i financijski izvještaji bitne stavke, postoje ostali važni
aspekti za firme, kao što su zaštita resursa, operativna učinkovitost i produktivnost, poštivanje pravila, regulacija i pravilnika organizacija. Ti faktori također imaju utjecaj na financijsko izvještavanje.
• Interna kontrola je odgovornost rukovodstva i zahtijeva sudjelovanje svih osoba unutar organizacije da bi bila učinkovita.
• Kontrolni okvir vezan je uz ciljeve posla te je dovoljno fleksibilan da bi ga se moglo prilagođavati.
Izvještavanje o učinkovitosti interne kontrole
6. Glavni revizor treba odboru za reviziju dati procjenu interne kontrole obzirom na učinkovitost sustava kontrole određene organizacije, uključujući njihovu prosudbu adekvatnosti modela ili oblika kontrole. Upravni odbor se mora oslanjati na rukovodstvo da će zadržati adekvatan i učinkovit sustav interne kontrole. Tu će sigurnost pojačati nezavisnim pregledom. Odbor ili njihov odbor za reviziju (ili drugo tijelo) treba postaviti sljedeća pitanja, a od glavnog revizora se može očekivati pomoć u odgovaranju na njih:
a. Postoji li snažno etičko okruženje i kultura?
• Predstavljaju li članovi odbora i rukovodeći direktori primjere visokog integriteta?
• Jesu li ciljevi učinkovitosti i inicijative realistični ili stvaraju preveliki pritisak za kratkoročne rezultate?
• Je li Etički kodeks poboljšan obukom i komunikacijom od vrha prema nižim strukturama? Dolazi li poruka do djelatnika na terenu?
242
Okvir profesionalnog djelovanja
• Jesu li otvoreni kanali komunikacije u organizaciji? Dobivaju li sve razine rukovodstva podatke koje trebaju?
• Postoji li nulta tolerancija na lažno financijsko izvještavanje na bilo kojoj razini?
b. Kako organizacija identificira i rješava rizike?• Postoji li proces upravljanja rizicima i je li učinkovit?• Rješava li se rizik unutar cijele organizacije?• Raspravlja li se iskreno o velikim rizicima s odborom?
c. Je li sustav kontrole učinkovit?• Jesu li kontrole organizacije nad procesom financijskog izvještavanja temeljite,
uključujući pripremanje financijskih izjava, povezanih bilješki i ostalih potrebnih i diskrecijskih priopćenja koji su sastavni dio financijskih izvještaja?
• Pokazuje li više i linijsko rukovodstvo prihvaćanje odgovornosti kontrole?• Postoji li povećana učestalost «iznenađenja» koja se pojavljuju na razini višeg
menadžmenta, odbora ili javnosti, a obzirom na prijavljene financijske rezultate organizacije ili popratna financijska priopćenja?
• Gleda li se na kontrole kao poboljšanje postignuća ciljeva ili kao na «nužno zlo»?
• Zapošljava li se promptno kvalificirane djelatnike i dobivaju li adekvatnu obuku?
• Rješavaju li se problemi brzo i u potpunosti?
d Postoji li snažan nadzor?• Je li odbor nezavisan od rukovodstva, oslobođen sukoba interesa, dobro
informiran i ispitivački?• Ima li interna kontrola podršku višeg menadžmenta i odbora za reviziju?• Imaju li interni i vanjski revizori otvorene linije komunikacije te koriste li
ih? Imaju li privatan pristup svim članovima višeg menadžmenta i odbora za reviziju?
• Nadgleda li linijsko rukovodstvo kontrolni proces?• Postoji li program za nadzor procesa eksternaliziranja?
7. Interne kontrole ne mogu osigurati uspjeh. Loše odluke i loše rukovodstvo ili okolni faktori, mogu utjecati na kontrolu. Također, neiskreno rukovodstvo može narušiti kontrolu i ignorirati ili sprječavati komunikacije od podređenih. Aktivan i nezavisan upravni odbor zajedno s otvorenom i iskrenom komunikacijom na svim razinama rukovodstva te uz podršku sposobnih financijskih, zakonskih te funkcija interne revizije, može identificirati probleme i pružiti učinkovit nadzor.
243
Preporuke za rad
Uloge internog revizora
8. Glavni revizor treba kontrolirati procjenu rizika interne kontrole i planove revizije za dotičnu godinu, ako nisu bili osigurani adekvatni resursi za pomoć višem menadžmentu, odboru za reviziju i vanjskom revizoru s njihovim dužnostima u organizaciji financijskog izvještavanja za nadolazeću godinu. Proces financijskog izvještavanja uključuje korake za stvaranje informacija i pripremu financijskih iskaza, povezanih bilješki i ostalih popratnih priopćenja u financijskim izvještajima organizacije.
9. Glavni revizor treba dodijeliti resurse interne kontrole financijskom izvještavanju, vodstvu i kontrolnim procesima u skladu s procjenom rizika organizacije. Glavni revizor treba obaviti procedure koje daju razinu sigurnosti višem menadžmentu i odboru za reviziju da su kontrole koje prate procese koji podržavaju razvijanje financijskih izvještaja, adekvatno osmišljene i učinkovito izvršene. Kontrole trebaju biti adekvatne kako bi osigurale prevenciju i otkrivanje bitnih pogrešaka, nepravilnosti, neispravnih pretpostavki i procjena te ostalih slučajeva koji mogu rezultirati netočnim ili neispravnim financijskim iskazima, povezanim bilješkama ili ostalim priopćenjima.
10. Sljedeći popisi predlažu teme koje glavni revizor može uzeti u obzir u podržavanju procesa upravljanja organizacijom te nadzorne dužnosti upravnog odbora i njegovog odbora za reviziju (ili drugog određenog odbora) kako bi se osigurala pouzdanost i integritet financijskih izvještaja.
(a) Financijsko izvještavanje• Davanje informacija relevantnih za imenovanje nezavisnih računovođa. • Koordiniranje planova revizije, pokrivenost i terminsko usklađivanje s vanjskim
revizorima.• Dijeljenje rezultata revizije s vanjskim revizorima. • Priopćavanje relevantnih promatranja vanjskim revizorima i odboru za
reviziju o računovodstvenim pravilnicima i odlukama pravilnika (uključujući računovodstvene odluke za diskrecijske stavke procesa financijskog izvještavanja te neobične ili kompleksne financijske transakcije i situacije (npr. transakcije povezanih strana, spajanja i akvizicije, združeni pothvati te partnerske transakcije).
• Sudjelovanje u financijskim izvještajima i procesu kontrole priopćenja s odborom za reviziju, vanjskim revizorima i višim menadžmentom; procjenjivanje kvalitete financijskih izvještaja, uključujući one koji su evidentirani kod regulatornih zavoda.
• Procjena adekvatnosti i učinkovitosti interne kontrole organizacije, posebno onih kontrola nad procesom financijskog izvještavanja; ta procjena treba uzeti
244
Okvir profesionalnog djelovanja
u obzir podložnost organizacije prijevari te učinkovitost programa i kontrola za smanjivanje ili eliminiranje takvih izlaganja.
• Nadzor poštivanja etičkog kodeksa organizacije od strane rukovodstva te osiguravanje da se poštuju etički pravilnici i ostale procedure koje promiču etičko ponašanje; važan faktor u uspostavljanju učinkovite etičke kulture u organizaciji je kada članovi višeg menadžmenta predstavljaju dobar primjer etičkog ponašanja te omogućavaju otvorenu i iskrenu komunikaciju prema djelatnicima, odboru i vanjskim dioničarima.
(b) Korporativno upravljanje• Kontrola korporativne politike obzirom na poštivanje zakona i regulativa,
etike, sukoba interesa i pravovremene i detaljne istrage nepravilnog ponašanja i navodnih prijevara.
• Kontrola neriješenih parnica ili regulativnih postupaka koji počivaju na riziku i upravljanju organizacijom.
• Davanje informacija o sukobu interesa djelatnika, nepravilnom ponašanju, prijevari i ostalim pitanjima vezanim uz etičke procedure organizacije i mehanizme prijavljivanja.
(c) Korporativna kontrola• Kontrola pouzdanosti i integriteta poslovnih i financijskih informacije
organizacije, koje su sažete i prijavljene od strane organizacije.• Obavljanje analize kontrola za kritične računovodstvene pravilnike te njihova
usporedba s preferiranim praksama (npr. transakcije u kojima se postavljaju pitanja o priznanju prihoda ili izvanbilančni računovodstveni postupak trebaju se kontrolirati obzirom poštuju li odgovarajuće općenito prihvaćene računovodstvene standarde).
• Procjena prihvatljivosti i pretpostavki korištenih u pripremi poslovnih i financijskih izvještaja.
• Osigurati da su procjene i pretpostavke uključene u priopćenja ili komentare u skladu s temeljnim organizacijskim informacijama i praksama te sa sličnim stavkama prijavljenim od strane ostalih poduzeća, ako je primjenjivo.
• Procjena procesa pripreme, kontrole, odobrenja te knjiženja dnevnih unosa.• Procjena adekvatnosti kontrole u računovodstvenoj funkciji.
245
Preporuke za rad
Preporuka za rad 2120.A4-1:Kriteriji kontrole
Tumačenje Standarda 2120.A4 iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 2120.A4 – Potrebni su adekvatni kriteriji za procjenu kontrole. Interni revizori trebali bi utvrditi razmjer do kojeg je rukovodstvo uspostavilo adekvatne kriterije kako bi se odredilo jesu li postignuti ciljevi. Ako je prikladno, interni revizori trebali bi koristiti takve kriterije u svojoj procjeni. Ako nije prikladno, interni revizori trebaju surađivati s rukovodstvom kako bi razvili odgovarajuće kriterije za procjenu.
Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće prijedloge kada procjenjuju kriterije kontrole. Ova smjernica nije namijenjena kako bi predstavljala sve kriterije koji mogu biti potrebni tijekom takve procjene, nego samo skup stavaka na koje treba obratiti pozornost.
1. Prije nego što se kontrole mogu procijeniti, rukovodstvo treba odrediti razinu rizika koji žele preuzeti na području koje se kontrolira. Interni revizori trebaju utvrditi kakva je ta razina rizika. To je potrebno utvrditi tako da se smanji potencijalni utjecaj ključnih prijetnji za postignuće glavnih ciljeva za područje koje se kontrolira.
2. Ako rukovodstvo nije utvrdilo ključne rizike i razinu rizika koji žele preuzeti, interni revizori mogu pomoći putem radionica za olakšavanje identifikacije rizika ili ostalih tehnika koje koristi organizacija.
3. Kada se utvrdi razina rizika, trenutno vrijedeće kontrole mogu se procijeniti kako bi se odredilo koliko se očekuje njihova uspješnost u smanjivanju rizika na željenu razinu.
246
Okvir profesionalnog djelovanja
Preporuka za rad 2130-1:Uloga aktivnosti interne revizije i internog revizora u etičkoj kulturi
organizacije
Tumačenje Standarda 2130 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2130 – Korporativno upravljanjeAktivnost interne revizije treba procijeniti i napraviti odgovarajuće preporuke za poboljšanje procesa upravljanja u ostvarenju sljedećih ciljeva:• promoviranje odgovarajuće etike i vrijednosti unutar organizacije• osiguravanje učinkovitog upravljanja poslovnim rezultatom i odgovornosti• učinkovito priopćavanje podataka vezanih za rizik i kontrolu odgovarajućim područjima organizacije• učinkovito koordiniranje aktivnosti i priopćavanje podataka među odborom, vanjskim i internim revizorima i rukovodstvom
Povezani standard 2130.A1 – Aktivnost interne revizije treba procijeniti koncept, implementaciju i učinkovitost etičkih ciljeva organizacije, programa i aktivnosti.
Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće kada određuju ulogu u etičkoj kulturi organizacije. Ta uloga može varirati ovisno o postojanju, nedostatku ili stupnju razvoja etičke kulture organizacije. Ova smjernica nije namijenjena kako bi predstavljala sve procedure koje mogu biti potrebne za detaljno jamstvo ili konzultacijske aktivnosti vezane uz etičku kulturu organizacije.
1. Ova preporuka za rad naglašava važnost kulture organizacije u uspostavljanju etičke klime poduzeća te predlaže ulogu koju interni revizori mogu imati u poboljšavanju te etičke klime. Preporuka za rad posebno:• opisuje prirodu upravljačkog procesa• povezuje ga s etičkom kulturom organizacije• navodi da sve osobe povezane s organizacijom, a napose interni revizori, trebaju
preuzeti ulogu zagovaratelja etike• imenuje karakteristike poboljšane etičke kulture.
247
Preporuke za rad
Korporativno upravljanje i kultura organizacije
2. Organizacija koristi različite pravne oblike, strukture, strategije i procedure kako bi osigurala :
(a) da je u skladu s pravnim i regulacijskim pravilima društva(b) udovoljava općenito prihvaćenim poslovnim normama, etičkim pravilima i socijalnim
očekivanjima društva(c) pruža općenitu dobrobit za društvo te poboljšava interese specifičnih dioničara i
kratkoročno i dugoročno te(d) izvještava u potpunosti i iskreno svoje vlasnike, nadzorna tijela, ostale dioničare
i javnost kako bi osigurala odgovornost za svoje odluke, radnje, ponašanje i djelovanje.
Način na koji organizacija odabere obavljati svoje poslove kako bi udovoljila tim četirima odgovornostima obično se naziva upravljački proces. Upravljačka tijela organizacije (kao što su upravni odbor ili rukovodeći odbor) te njezin viši menadžment, odgovorni su za učinkovitost upravljačkog procesa.
3. Upravljačke prakse organizacije odražavaju jedinstvenu i konstantno promjenjivu kulturu koja utječe na uloge, specifično ponašanje, postavlja ciljeve i strategije, mjeri rezultate te definira uvjete odgovornosti. Ta kultura utječe na vrijednosti, uloge i ponašanje koje će se prihvatiti i tolerirati od strane organizacije te određuje koliko senzibilno – obazrivo ili indiferentno je poduzeće u obavljanju svojih obveza prema društvu. Stoga, koliko je učinkovit proces općenitog upravljanja u obavljanju svoje očekivane funkcije, uvelike ovisi o kulturi organizacije.
Podijeljena odgovornost za etičku kulturu organizacije
4. Sve osobe povezane s organizacijom dijele neku odgovornost za stanje njezine etičke kulture. Zbog kompleksnosti i disperzije procesa donošenja odluka u većini poduzeća, svaki pojedinac treba biti potaknut da bude zagovornik etike, bez obzira je li uloga delegirana službeno ili se samo neformalno obavlja. Etički kodeksi i izjave o viziji te politika, važne su deklaracije vrijednosti i ciljeva organizacije, ponašanja koje se očekuje od ljudi te organizacije, te strategija za održavanje kulture koja je u skladu s njezinim pravnim, etičkim i društvenim odgovornostima. Sve veći broj organizacija odredilo je glavnog direktora za etiku kao savjetnika direktora, menadžera i ostalih te kao prvu osobu u organizaciji koja je zadužena za «provođenje ispravnih stvari».
Aktivnost interne revizije kao zagovornika etike
5. Interni revizori i aktivnost interne revizije trebaju imati aktivnu ulogu u podržavanju etičke kulture organizacije. Oni imaju visoku razinu povjerenja i integriteta unutar
248
Okvir profesionalnog djelovanja
organizacije te vještine kako bi bili učinkoviti zagovornici etičkog ponašanja. Kompetentni su te mogu apelirati na direktore, menadžere i ostale djelatnike poduzeća da postupaju u skladu s etičkim i društvenim obvezama organizacije.
6. Aktivnost interne revizije može poprimiti jednu od nekoliko različitih uloga kao zagovornik etike. Te uloge uključuju vodećeg dužnosnika za etiku (pučki pravobranitelj, službenik, savjetnik za rukovodeću etiku, ili stručnjak za etiku), člana međunarodnog vijeća za etiku, ili procjenitelja etičke klime organizacije. U nekim slučajevima uloga vodećeg dužnosnika za etiku može se sukobiti sa svojstvom nezavisnosti interne aktivnosti revizije.
Procjena etičke klime organizacije
7. Minimalno, aktivnost interne revizije treba periodički procjenjivati stanje etičke klime organizacije i učinkovitost njezinih strategija, taktika, komunikacija i ostalih procesa u postizanju željene razine zakonske i etičke usklađenosti. Interni revizori trebaju procjenjivati učinkovitost sljedećih svojstava poboljšane, visoko učinkovite etičke kulture:(a) službeni etički kodeks, koji je jasan i razumljiv te povezane izjave, pravilnici
(uključujući procedure koje obuhvaćaju prijevaru i korupciju), te ostali oblici aspiracija
(b) redovita komunikacija i demonstracije očekivanih etičkih stavova i ponašanja od strane utjecajnih vođa organizacije
(c) eksplicitne strategije za podržavanje i poboljšavanje etičke kulture s redovitim programima kako bi se ažuriralo i obnovilo pridržavanje etičke kulture
(d) nekoliko jednostavno dostupnih načina za sve kako bi strogo povjerljivo mogli prijaviti navodne povrede Kodeksa, pravilnika i ostalih oblika negativnog ponašanja
(e) redovite izjave od strane djelatnika, dobavljača i korisnika da su svjesni zahtjeva vezanih uz etičko ponašanje prilikom obavljanja aktivnosti organizacije
(f) jasno delegiranje odgovornosti kako bi se osiguralo da se procjenjuju etičke posljedice, da je omogućeno povjerljivo savjetovanje, da se istražuju navodi negativnog ponašanja te da se ispravno prijavljuju rezultati za pojedine slučajeve
(g) jednostavan pristup mogućnostima za edukaciju kako bi se svim djelatnicima omogućilo da budu zagovornici etike
(h) pozitivne radnje vezane za kadar koje potiču svakog djelatnika da pridonese etičkoj klimi organizacije
(i) redovito anketiranje djelatnika, dobavljača i korisnika kako bi se odredilo stanje etičke klime u organizaciji
(j) redovito ispitivanje formalnih i neformalnih procesa unutar organizacije koji bi potencijalno mogli stvoriti pritisak i predrasude koje bi narušile etičku kulturu
(k) redovite reference i pozadinske provjere kao dio procedura zapošljavanja, uključujući testove integriteta, testiranje na droge te slične mjere.
249
Preporuke za rad
Preporuka za rad 2200-1:Planiranje rada
Tumačenje Standarda 2200 iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 2200 – Planiranje radaInterni revizori trebaju razviti i evidentirati plan za svaku aktivnost, uključujući raspon, ciljeve, vremenski raspored i dodjeljivanje resursa.
Povezani standard 2201 – Što treba uzeti u obzir prilikom planiranjaU planiranju rada interni revizori trebaju imati na umu sljedeće:• ciljeve aktivnosti koja se kontrolira te sredstva kojom aktivnost revizije kontrolira svoju učinkovitost i postignuće tih ciljeva• značajnije rizike za aktivnost, njezine ciljeve, resurse i radnje te sredstva kojima se potencijalni utjecaj od i/ili vjerojatnost rizika drži na prihvatljivoj razini• adekvatnost i učinkovitost upravljanja rizikom tijekom aktivnosti te kontrolni sustavi u usporedbi s relevantnim okvirom za kontrolu ili modelom • prilike za značajna poboljšanja aktivnosti upravljanja rizikom i kontrolnih sustava.
Priroda ove preporuke za rad : interni revizori trebaju uzeti u obzir sljedeće kada planiraju rad. Ova smjernica nema namjenu predstavljati sve potencijalne kriterije, nego se radi o preporučenom skupu stavki na koje treba obratiti pozornost.
1. Interni revizor je odgovoran za planiranje i provedbu dodjele rada, ovisno o kontroli i odobrenju od strane nadzora. Program rada treba:• dokumentirati procedure internog revizora za prikupljanje, analiziranje,
interpretiranje i dokumentiranje podataka tijekom rada• navesti ciljeve rada• objasniti raspon i stupanj testiranja potrebnog za postizanje ciljeva rada u svakoj
fazi rada• identificirati tehničke aspekte, ciljeve aktivnosti, rizike, procese i transakcije
koje treba pregledati• navesti prirodu i raspon potrebnog testiranja• biti pripremljen prije početka rada i modificiran, kako je prikladno, tijekom
trajanja rada.
250
Okvir profesionalnog djelovanja
2. Direktor za reviziju treba odrediti kako, kada i kome će se priopćiti rezultati rada. Tu je odluku potrebno dokumentirati i priopćiti rukovodstvu, do mjere do koje je to praktično, tijekom planiranja faze rada. Naknadne promjene koje utječu na vremenski plan ili izvještavanje rezultata rada, također treba priopćiti rukovodstvu, ako je prikladno.
3. Potrebno je odrediti ostale zahtjeve rada, kao što je obuhvaćeno razdoblje rada i procijenjeni datumi završetka. Format konačnog priopćenja o radu treba se uzeti u obzir jer ispravno planiranje u ovoj fazi olakšava pripremanje konačnog priopćenja rada.
4. Treba informirati sve članove rukovodstva koji trebaju biti upoznati s radom. Treba održavati sastanke s rukovodstvom odgovornim za aktivnost koja se pregledava. Treba pripremiti sažetak raspravljanih pitanja na sastanku te svih donesenih zaključaka, zatim ga podijeliti pojedincima, kako je prikladno, i zadržati u radnoj dokumentaciji rada. Teme za raspravu mogu uključivati:• planirane ciljeve rada i raspon rada• vremenski plan rada• interne revizore određene za obavljanje aktivnosti• proces komunikacije tijekom rada, uključujući metode, vremenske okvire i
pojedince koji će biti odgovorni• poslovne uvjete i radnje aktivnosti koja se kontrolira, uključujući najnovije
promjene u rukovodstvu ili glavnim sustavima• pitanja ili zahtjeve rukovodstva• problematična te pitanja od posebnog interesa za internog revizora• opis procedura izvještavanja vezanih uz aktivnost interne revizije te proces
kontrole.
251
Preporuke za rad
Preporuka za rad 2210-1:Ciljevi rada
Tumačenje Standarda 2210 iz
Međunarodnih standarda za stručnuprovedbu interne revizije
Povezani standard 2210 – Ciljevi radaPotrebno je odrediti ciljeve za svaku aktivnost.
Priroda ove preporuke za rad: interni revizori trebaju uzeti u obzir sljedeće kada utvrđuju ciljeve rada. Ova smjernica nema namjenu predstavljati sve potencijalne kriterije, nego se radi o preporučenom skupu stavki na koje treba obratiti pozornost.
1. Treba dokumentirati planiranje. Potrebno je utvrditi ciljeve rada i raspon posla. Ciljevi rada su opći iskazi od strane internih revizora te definiraju što se namjerava postići radom. Procedure rada su sredstva za postizanje ciljeva rada. Ciljevi rada i procedure zajedno definiraju raspon posla internog revizora.
2. Ciljevi rada i procedure trebaju obratiti pozornost na rizik povezan s aktivnosti koja se kontrolira. Termin rizik znači nesigurnost događaja koji se pojavljuje, a koji može utjecati na postizanje ciljeva. Rizik se mjeri na temelju posljedica i vjerojatnosti. Svrha procjene rizika tijekom faze planiranja rada je utvrditi važna područja aktivnosti koje bi trebalo proučiti kao potencijalne ciljeve angažmana.
252
Okvir profesionalnog djelovanja
Preporuka za rad 2210.A1-1:Procjena rizika u planiranju angažmana
Tumačenje Standarda 2210.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2210.A1 – Interni revizori bi trebali provesti preliminarnu procjenu rizika relevantnih za aktivnost koja se revidira. Ciljevi angažmana trebali bi odražavati rezultate ove procjene.
Priroda ove preporuke za rad: interni revizori trebaju razmotriti sljedeće prijedloge kod procjene rizika tijekom planiranja angažmana. Namjera ove smjernice nije predstaviti sva potrebna razmatranja koje će možda biti potrebna kod takve procjene, nego jednostavno preporučeni skup stavki kojima bi se trebalo pozabaviti. Interni revizori sami prosuđuju koje su stavke potrebne za dobivanje dovoljno uvjerenja da su utvrđeni relevantni rizici za određeni angažman.
1. Interni revizor treba razmotriti procjenu rizika uprave vezanih uz aktivnost koja se revidira. Interni revizor treba uzeti u obzir:• pouzdanost procjene rizika uprave• praćenje i izvještavanje o rizičnim pitanjima od strane uprave• izvješća uprave o događajima koji su prekoračili dogovorene granice tolerancije
rizika• postoje li rizici koje je uprava utvrdila na drugim mjestima u organizaciji u
povezanim aktivnostima ili sustavima podrške koji bi mogli biti relevantni za aktivnost koja se revidira
• vlastitu procjenu uprave kontrola vezanih uz rizike.
2. Potrebno je saznati pozadinu iza aktivnosti koje će se revidirati. Treba ispitati pozadinske informacije kako bi se odredio njihov utjecaj na angažman. Relevantne stavke mogu uključivati sljedeće:• ciljeve i svrhe• politike, planove, procedure, zakone, propise i ugovore koji bi mogli znatno
utjecati na poslove i izvješća• organizacijske informacije, npr. brojevi i imena zaposlenika, ključnih zaposlenika,
opisi poslova i podaci o nedavnim promjenama u organizaciji, uključujući i velike promjene sustava
• informacije o proračunu, radni rezultati i financijski podaci o aktivnosti koju treba revidirati
253
Preporuke za rad
• radnu dokumentaciju prethodnih angažmana• rezultate iz drugih angažmana uključujući posao internih revizora koji je završen
ili u tijeku• dokumente korespondencije kako bi se utvrdila potencijalno važna pitanja u
angažmanu• autoritativnu i tehničku literaturu koja se odnosi na aktivnost.
3. Ukoliko je prikladno, trebalo bi provesti ispitivanje kako bi se upoznalo s aktivnostima, rizicima i kontrolama, kako bi se utvrdila područja na kojima se treba više angažirati i kojim bi se pozvali klijenti na komentare i sugestije . Ispitivanje je proces prikupljanja informacija bez detaljne provjere aktivnosti koja se ispituje. Njeni osnovni ciljevi su:• razumijevanje aktivnost koja se revidira• utvrđivanje značajnih područja koja zahtijevaju posebnu pažnju• dobivanje informacija koje će se koristiti u obavljanju angažmana• odrediti je li potrebna daljnja revizija.
4. Studija omogućava informiran pristup planiranju i provedbi angažmana te je učinkovito sredstvo za angažiranje resursa interne revizije tamo gdje se mogu najučinkovitije iskoristiti. Fokus studije će varirati ovisno o prirodi angažmana. Opseg rada i potrebno vrijeme će varirati. Važni čimbenici su obrazovanje i iskustvo internog revizora, poznavanje aktivnosti koja se ispituje, vrsta angažmana koji se obavlja te je li ispitivanje dio redovitog zadatka ili zadatka praćenja. Na potrebno vrijeme će također utjecati veličina i složenost aktivnosti koja se ispituje te geografska rasprostranjenost aktivnosti.
5. U ispitivanju se također mogu primjenjivati sljedeće procedure:• razgovori s naručiteljem angažmana• razgovori s pojedincima na koje aktivnost utječe, primjerice korisnici izlaznih
rezultata aktivnosti• opažanja na licu mjesta• pregled izvješća i studija uprave• analitičke revizijske procedure• izrada dijagrama tijeka• funkcionalni pregled (testovi određenih radnih aktivnosti od početka do kraja)• dokumentiranje ključnih aktivnosti kontrole.
6. Interni revizor bi trebao pripremiti sažetak rezultata revizije procjene rizika uprave, pozadinskih informacija i rezultata svih provedenih istraživanja. Sažetak bi trebao utvrditi:• važne probleme iz angažmana i razloge zbog kojih ih treba detaljnije istražiti• bitne informacije dobivene iz svih izvora• ciljeve angažmana, procedure angažmana i posebne pristupe poput računalnih
revizijskih tehnika
254
Okvir profesionalnog djelovanja
• potencijalne kritične kontrolne točke, nedostatci kontrole i/ili pretjeranost kontrole
• preliminarne procjene potrebnog vremena i sredstava• revidirane datume za faze izvješćivanja i završavanje angažmana• razloge za prekid angažmana, po potrebi.
255
Preporuke za rad
Preporuka za rad 2230-1:Raspodjela resursa u angažmanu
Tumačenje Standarda 2230 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2230 – Raspodjela resursa u angažmanuInterni revizori trebali bi odrediti odgovarajuća sredstva za postizanje ciljeva angažmana. Osiguravanje potrebnog osoblja trebalo bi se temeljiti na procjeni prirode i složenosti svakog angažmana, vremenskih ograničenja i raspoloživih resursa.
Priroda ove preporuke za rad: interni revizori trebaju razmotriti sljedeće prijedloge u određivanju raspodjele resursa u angažmanu. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
Prilikom određivanja resursa potrebnih za izvršenje ovog angažmana, potrebno je procijeniti sljedeće:
• Broj i stupanj iskustva osoblja koje provodi internu reviziju trebaju se temeljiti na procjeni prirode i složenosti zadanog angažmana, vremenskim rokovima i dostupnim resursima.
• Znanje, vještine i ostale sposobnosti osoblja koje će provoditi internu reviziju trebaju se uzeti u obzir pri odabiru internih revizora za angažman.
• Trebaju se uzeti u obzir potrebe edukacije internih revizora, budući da svaki zadani angažman služi kao osnova za postizanje razvojnih potreba interne revizije.
• Treba uzeti u obzir angažiranje vanjskih resursa u slučajevima kada je potrebno dodatno znanje, vještine i ostale sposobnosti.
256
Okvir profesionalnog djelovanja
Preporuka za rad 2240-1:Program rada angažmana
Tumačenje Standarda 2240 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2240 – Program rada angažmanaInterni revizori trebaju razviti radne programe koji će ostvariti ciljeve angažmana. Te radne programe treba evidentirati.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razvoja radnih programa angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Procedure angažmana, uključujući testiranje i uzimanje uzoraka primijenjenih tehnika treba unaprijed izabrati ako je to moguće te ih proširiti i izmijeniti, ukoliko to okolnosti zahtijevaju. Detaljnije smjernice opisane su u Preporukama za rad 2340-1.
257
Preporuke za rad
Preporuka za rad 2240.A1-1:Odobrenje programa rada
Tumačenje Standarda 2240.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2240.A1 – Programi rada trebaju ustanoviti procedure za utvrđivanje, analizu, vrednovanje i evidentiranje informacija tijekom angažmana. Program rada treba biti odobren prije početka rada, a sve prilagodbe trebaju biti ažurno odobrene.
Priroda ove preporuke za rad: :interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom odobravanja programa rada. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Prilikom dobivanja odobrenja za plan rada angažmana, takve planove treba odobriti glavni revizor u pisanom obliku ili za to određena osoba prije početka rada na angažmanu, ako je to moguće. Odobrenje se prvo može dobiti usmeno, ako čimbenici onemogućuju dobivanje odobrenja u pisanom obliku prije početka radova na angažmanu. Prilagodbe radnih planova angažmana trebaju biti pravovremeno odobrene.
258
Okvir profesionalnog djelovanja
Preporuka za rad 2300-1:Korištenje osobnih informacija od strane interne revizije tijekom provedbe
revizije
Tumačenje Standarda 2300 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2300 – Provedba angažmanaInterni revizori trebaju ustanoviti, analizirati, vrednovati i evidentirati dovoljno informacija kako bi postigli ciljeve angažmana.
Priroda ove preporuke za rad: interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razmatranja uporabe osobnih informacija u provedbi angažmana provjere ili konzultacijskog angažmana. Ove preporuke za rad ne predstavljaju sveobuhvatne smjernice vezano uz korištenje osobnih informacija, nego podsjetnik na važnost njihove odgovarajuće uporabe u skladu sa zakonima i pravilima relevantne nadležnosti gdje se revizija provodi i gdje organizacija obavlja djelatnost.
1. Zabrinutost vezana uz zaštitu osobne privatnosti i informacija postaje sve očitija, fokusirana i globalna kako napredak u informatičkoj tehnologiji i komunikacijama konstantno uvodi nove rizike i prijetnje za privatnost. Kontrola privatnosti je zakonska obveza u poslovanju u većini svijeta.
2. Osobne informacije se općenito odnose na informacije koje se mogu povezati s određenim pojedincem ili koje imaju identifikacijske karakteristike koje bi se mogle povezati s pojedincima ako se udruže s drugim informacijama72. To može uključivati sve činjenične ili subjektivne informacije bez obzira jesu li evidentirane u bilo kojem obliku ili mediju. Osobne informacije mogu primjerice uključivati:• ime, adresu, identifikacijski broj, prihod ili krvnu grupu• vrednovanja, komentare, društveni status ili disciplinske mjere• dosje zaposlenika, kreditne podatke, podatke o zajmovima.
3. U većini slučajeva zakoni zahtijevaju da organizacije utvrde svrhe za koje se prikupljaju osobne informacije za vrijeme ili prije prikupljanja informacija; a te osobne informacije ne smiju se koristiti niti otkrivati u druge svrhe, osim onih za koje su prikupljene ili uz pristanak osobe ili u skladu sa zakonskim zahtjevima.
7 2 Hargraves, Kim, Susan B. Lione, Kerry L. Shackleford, i Peter C. Tilton, Privacy: Assessing the Risk (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2003).
259
Preporuke za rad
4. Važno je da interni revizor razumije i poštuje sve zakone vezano uz korištenje osobnih informacija u svojoj nadležnosti i onim nadležnostima gdje njegova organizacija obavlja poslovanje.
5. Interni revizor mora razumjeti kako može biti nedolično ili u nekim slučajevima čak i nezakonito pristupati, preuzimati, pregledavati, manipulirati ili koristiti osobne informacije u izvršenju određenih angažmana interne revizije.
6. Interni revizor bi trebao istražiti problematična pitanja prije započinjanja revizije i potražiti savjet od unutarnjeg pravnog savjetnika ako ima nekih pitanja ili dvojbi u tom pogledu.
260
Okvir profesionalnog djelovanja
Preporuka za rad 2310-1:Utvrđivanje informacija
Tumačenje Standarda 2310 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2310 – Utvrđivanje informacijaInterni revizori trebaju utvrditi dovoljne, pouzdane, relevantne i korisne informacije za ostvarenje ciljeva revizije.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom utvrđivanja informacija. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijskog angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Informacije se trebaju prikupljati o svim predmetima vezanim uz ciljeve angažmana i opseg posla. Interni revizori koriste analitičke revizijske procedure prilikom utvrđivanja i ispitivanja informacija. Analitičke revizijske procedure provode se proučavanjem i usporedbom odnosa između financijskih i nefinancijskih informacija. Primjena analitičkih revizijskih procedura za utvrđivanje informacija koje treba istražiti temelji se na premisi da se, u nedostatku poznatih suprotnih činjenica, može pretpostaviti kako odnosi između informacija postoje i kako i dalje traju. Primjeri suprotnih činjenica uključuju neobične ili neponovljene transakcije ili događaje; računovodstvene, organizacijske, operativne, ekološke i tehnološke promjene; neučinkovitosti; nedjelotvornosti; greške; nepravilnosti; ili nezakonite akte.
2. Informacije bi trebale biti dovoljne, kompetentne, relevantne i korisne kako bi omogućile čvrstu osnovu za primjedbe i preporuke angažmana. Dovoljne informacije su činjenične, adekvatne i uvjerljive tako da razumna, informirana osoba može izvesti iste zaključke kao i revizor. Kompetentne informacije su pouzdane i najbolje ih je dobiti korištenjem odgovarajućih tehnika angažmana. Relevantne informacije podržavaju opažanja i preporuke iz angažmana te su dosljedne s ciljevima angažmana. Korisne informacije pomažu organizaciju pri ispunjenju svojih ciljeva.
261
Preporuke za rad
Preporuka za rad 2320-1:Analiza i vrednovanje
Tumačenje Standarda 2320 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2320 – Analiza i vrednovanjeInterni revizori trebaju temeljiti svoje zaključke i rezultate angažmana na odgovarajućim analizama i vrednovanjima.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom korištenja analize i vrednovanja u donošenju zaključaka. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom obavljanja konzultacijska angažmana, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Analitičke revizijske procedure daju internim revizorima učinkovita i djelotvorna sredstva za procjenu i vrednovanje informacija prikupljenih u sklopu angažmana. Procjena rezultira iz usporedbe s očekivanjima koje je utvrdio ili razvio interni revizor. Analitičke revizijske procedure su korisne kod utvrđivanja, između ostaloga:• neočekivanih razlika• odsutnosti razlika kada su one očekivane• potencijalnih grješaka• potencijalnih nepravilnosti ili nezakonskih akta• ostalih neobičnih ili neponovljenih transakcija ili događaja.
2. Analitičke revizijske procedure mogu uključivati:• usporedbu informacija tekućeg razdoblja sa sličnim informacijama iz prošlih
razdoblja• usporedbu informacija tekućeg razdoblja s proračunima ili predviđanjima• studiju odnosa financijskih informacija s odgovarajućim nefinancijskim
informacijama (primjerice, zabilježeni trošak plaća uspoređen s promjenama u prosječnom broju zaposlenika)
• studiju odnosa između elemenata informacija (primjerice fluktuacija zabilježenih troškova kamata u usporedbi s promjenama u povezanim bilancama dugovanja)
• usporedbu informacija sa sličnim informacijama za druge organizacijske jedinice
• usporedbu informacija sa sličnim informacijama za industriju u kojoj organizacija posluje.
262
Okvir profesionalnog djelovanja
3. Analitičke revizijske procedure mogu se provoditi pomoću monetarnih iznosa, fizičkih količina, omjera ili postotaka. Određene analitičke revizijske procedure uključuju, ali nisu ograničene na analizu omjera, trenda i regresije, razumnih testiranja, usporedbe između razdoblja, usporedbe s proračunima, predviđanjima i vanjskim ekonomskim informacijama. Analitičke revizijske procedure pomažu internim revizorima da utvrde uvjete koji mogu zahtijevati kasnije procedure u angažmanu. Interni revizori trebaju koristiti analitičke revizijske procedure u planiranju angažmana u skladu sa smjernicama iz poglavlja 2200 Međunarodnih standarda za stručnu provedbu interne revizije (Standarda) (Preporuka za rad 2210-1).
4. Analitičke revizijske procedure također se trebaju koristiti kod ispitivanja i vrednovanja informacija kako bi potkrijepili rezultate angažmana. Interni revizori trebaju razmotriti niže navedene čimbenike prilikom utvrđivanja u kojoj se mjeri mogu koristiti analitičke revizijske procedure. Nakon vrednovanja tih čimbenika interni revizori trebaju razmotriti i koristiti dodatne revizijske procedure, prema potrebi, kako bi postigli cilj angažmana. Čimbenici su sljedeći:• važnost područja koje je ispituje• procjena rizika i učinkovitosti upravljanja rizicima u području koje se ispituje• adekvatnost sustava interne revizije• dostupnost i pouzdanost financijskih i nefinancijskih informacija• preciznost kojom se rezultati analitičkih revizijskih procedura mogu predvidjeti• dostupnost i usporedivost informacija vezano uz industriju u kojoj organizacija
posluje• mjera u kojoj ostale procedure angažmana potkrjepljuju rezultate angažmana.
5. Kada analitičke revizijske procedure utvrde neočekivane rezultate ili odnose, interni revizori trebaju ispitati i vrednovati takve rezultate ili odnose. Ispitivanje i vrednovanje treba uključivati upite uprave i primjenu drugih procedura angažmana dok interni revizori ne budu zadovoljni dovoljnim objašnjenjima rezultata ili odnosa. Neobjašnjeni rezultati ili odnosi iz primjene analitičkih revizijskih procedura mogu indicirati bitne uvjete poput potencijalne greške, nepravilnosti ili nezakonitog akta. Rezultati ili odnosi koji su dovoljno objašnjeni trebaju se priopćiti odgovarajućim razinama uprave. Interni revizori mogu preporučiti odgovarajuće smjerove djelovanja ovisno o okolnostima.
263
Preporuke za rad
Preporuka za rad 2330-1:Evidentiranje informacija
Tumačenje Standarda 2330 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2330 – Evidentiranje informacijaInterni revizori trebaju evidentirati relevantne informacije kako bi potkrijepili zaključke i rezultate angažmana.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom evidentiranja informacija. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizor treba pripremiti radne papire koji dokumentiraju angažman, a rukovodstvo interne revizije treba ih pregledati. Radni papiri trebaju bilježiti sve dobivene informacije i izrađene analize te potkrijepiti osnovu za primjedbe i preporuke koje će biti iznesene u izvješću. Radni papiri u sklopu angažmana u pravilu:• daju osnovnu podršku komunikaciji angažmana• pomažu u planiranju, provedbi i pregledu angažmana• evidentiraju jesu li postignuti ciljevi angažmana• omogućavaju revizije trećih strana• daju osnovu za vrednovanje kvalitete programa interne revizije• pružaju podršku u okolnostima poput potraživanja na osnovi osiguranja, slučajeva
prijevare i tužbi• pomažu u profesionalnom razvoju osoblja interne revizije• pokazuju sukladnost interne revizije s Međunarodnim standardima za stručnu
provedbu interne revizije (Standardima).
2. Organizacija, dizajn i sadržaj radnih papira angažmana ovisit će o prirodi angažmana. Radni papiri angažmana trebaju dokumentirati sljedeće aspekte procesa angažmana:• planiranje• procjenu rizika• ispitivanje i vrednovanje adekvatnosti i učinkovitosti sustava interne kontrole• obavljene procedure angažmana, dobivene informacije i donesene zaključke• pregled
264
Okvir profesionalnog djelovanja
• priopćavanje• praćenje.
3. Radni papiri angažmana trebaju biti potpuni i potkrijepiti donesene zaključke u angažmanu. Radni papiri između ostaloga mogu uključivati:• planove i programe angažmana• kontrolne upitnike, dijagrame tijeka, liste i opisne dijelove• napomene i bilješke proizašle iz razgovora• organizacijske podatke poput organizacijskih tablica i opise• preslike važnih ugovora i sporazuma• informacije o operativnoj i financijskoj politici• rezultate vrednovanja kontrole• potvrde i predstavke• analize i testiranja transakcija, procesa i bilanci računa• rezultate analitičkih revizijskih procedura• posljednja priopćenja angažmana i odgovore uprave• korespondenciju angažmana ako ona dokumentira donesene zaključke
angažmana.
4. Radni papiri angažmana mogu biti u formatu papira, kazete, diska, disketa, filma ili nekog drugog medija. Ako su radni papiri angažmana u nekom drugom formatu osim papira, trebalo bi uzeti u obzir izradu rezervnih kopija.
5. Ako interni revizori izvještavaju o financijskim informacijama, radni papiri angažmana trebaju dokumentirati slažu li se računovodstveni zapisnici ili podudaraju s takvim financijskim informacijama.
6. Glavni revizor treba ustanoviti politiku radnih papira za razne tipove angažmana koji se obavljaju. Standardizirani radni papiri angažmana poput upitnika i programa revizije mogu poboljšati učinkovitost angažmana ili olakšati prijenos angažmana. Neki radni papiri angažmana mogu se kategorizirati kao trajni dokumenti angažmana koji se mogu prenositi u budućnost. Takvi dokumenti u pravilu sadrže informacije čija je važnost trajna.
7. Slijede tipične tehnike izrade radnih papira angažmana:• Svaki radni dokument angažmana treba utvrditi angažman i opisati sadržaj ili
svrhu radnog dokumenta.• Svaki radni dokument treba biti potpisan (ili parafiran) i datiran od strane internog
revizora koji je izvršio posao.• Svaki radni dokument angažmana treba sadržavati indeks ili referentni broj.• Revizijski simboli verifikacije (kvačice) trebaju biti objašnjeni.• Izvori podataka trebaju biti jasno navedeni.
265
Preporuke za rad
Preporuka za rad 2330.A1-1:Kontrola dokumentacije angažmana
Tumačenje Standarda 2330.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2330.A1 – Glavni revizor treba kontrolirati pristup dokumentaciji angažmana. Glavni revizor treba dobiti odobrenje višeg menadžmenta i/ili pravnika prije otkrivanja takve dokumentacije vanjskim stranama, prema potrebi.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge vezano uz kontrolu dokumentacije angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Radna dokumentacija angažmana u vlasništvu je organizacije. Registri radne dokumentacije trebaju u pravilu ostati pod kontrolom interne revizije te trebaju biti na raspolaganju samo ovlaštenom osoblju.
2. Uprava i ostali članovi organizacije mogu zatražiti pristup radnoj dokumentaciji angažmana. Takav pristup može biti potreban radi potkrjepljivanja ili objašnjenja primjedbi i preporuka angažmana ili za uporabu dokumentacije angažmana u druge poslovne svrhe. Takve zahtjeve za pristup treba odobriti glavni revizor (CAE).
3. Uobičajena je praksa da interni i vanjski revizori jedni drugima odobravaju pristup radnoj dokumentaciji. Za pristup revizijskoj radnoj dokumentaciji od strane vanjskih revizora potrebno je odobrenje glavnog revizora.
4. U nekim okolnostima strane izvan organizacije, osim vanjskih revizora, mogu zatražiti pristup radnoj dokumentaciji i izvješćima revizije. Prije otkrivanja takve dokumentacije, glavni revizor treba odobrenje višeg menadžmenta i/ili pravnika, prema potrebi.
266
Okvir profesionalnog djelovanja
Preporuka za rad 2330.A1-2:Pravni obziri prilikom odobravanja pristupa dokumentaciji angažmana
Tumačenje Standarda 2330.A1 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2330.A1 – Informacije o dokumentacijiGlavni revizor treba kontrolirati pristup dokumentaciji angažmana. Glavni revizor treba dobiti odobrenje višeg menadžmenta i/ili pravnika prije otkrivanja takve dokumentacije vanjskim stranama.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom razmatranja odobravanja pristupa dokumentaciji angažmana osobama izvan interne revizije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni.
Oprez – Internim revizorima se savjetuje da potraže pravno mišljenje u svim predmetima koji se tiču pravnih pitanja budući da propisi mogu značajno varirati u različitim nadležnostima. Smjernice iz ovih preporuka za rad temelje se prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.
1. Dokumentacija angažmana interne revizije uključuje izvješća, dokaznu dokumentaciju, bilješke revizije i korespondenciju bez obzira na medij na koji se pohranjuje. Interni revizori, uz potporu uprave i upravnih odbora kojima pružaju usluge revizije, pripremaju dokumentaciju angažmana. Dokumentacija angažmana se u pravilu izrađuje pod pretpostavkom da je njen sadržaj povjerljiv te da možda sadrži mješavinu činjenica i mišljenja. Međutim, oni koji nisu izravno upoznati s organizacijom ili njenim procesom interne revizije mogli bi krivo shvatiti te činjenice i mišljenja. Pristup vanjskih strana dokumentaciji angažmana bio je tražen u nekoliko različitih vrsta procedura, uključujući kazneni progon, građanske parnice, porezne revizije, regulatorne revizije, državnu reviziju ugovora i reviziju samo-regulatornih organizacija. Gotovo sva dokumentacija organizacije koja nije zaštićena odvjetničkom tajnom dostupna je u kaznenim parnicama. U nekaznenim parnicama pitanje pristupa nije tako jasno te može varirati ovisno o pravnoj nadležnosti organizacije.
2. Eksplicitna praksa u sljedećim dokumentima interne revizije može povećati kontrolu pristupa dokumentaciji angažmana. Ovi prijedlozi se razmatraju u dolje navedenim poglavljima:
267
Preporuke za rad
• Povelja• Opis posla• Politika internog odjela• Procedure za ponašanje prilikom istrage uz pravnu pomoć.
3. Povelja o internoj reviziji treba se baviti pitanjem pristupa i kontrole dokumentacije i informacija organizacije bez obzira na medij za pohranu dokumentacije.
4. Pisani opisi posla trebaju biti izrađeni za internu reviziju te uključivati složene i raznovrsne obveze koje revizori obavljaju. Takvi opisi mogu pomoći internim revizorima u rješavanju zahtjeva za dokumentacijom angažmana. Oni će također pomoći internim revizorima da shvate opseg svojeg rada, a vanjskim stranama da shvate dužnosti internih revizora.
5. Interna politika odjela treba biti izražena vezano uz djelatnost interne revizije. Takva pisana politika treba pokrivati, između ostaloga, sve što bi trebalo biti uključeno u dokumentaciju angažmana, koliko dugo treba čuvati dokumentaciju odjela, na koji način rješavati vanjske zahtjeve za uvidom u dokumentaciju odjela te kakvu politiku treba primjenjivati u slučaju istrage u suradnji s pravnikom. Ta pitanja su obrađena u daljnjem tekstu.
6. Politika koja se odnosi na različite tipove angažmana treba specificirati sadržaj i format dokumentacije angažmana te način na koji interni revizori trebaju postupati sa svojim revizijskim bilješkama, tj. trebaju li ih čuvati kao dokumentaciju o problemima koji su se javili te bili naknadno riješeni ili ih uništiti kako treće strane ne bi došle do njih. Također, ova politika treba odrediti duljinu čuvanja dokumentacije iz angažmana. Takva vremenska ograničenja bit će definirana potrebama organizacije i pravnim odredbama. (Važno je konzultirati pravnika po ovom pitanju.)
7. Pravila odjela trebaju objasniti tko je u organizaciji odgovoran za osiguravanje kontrole i sigurnosti dokumentacije odjela, tko može dobiti pristup dokumentaciji iz angažmana te kako treba rješavati zahtjeve za pristup toj dokumentaciji. Ta pravila mogu ovisiti o pravilima koja se poštuju u industriji ili pravnoj nadležnosti organizacije. Glavni revizor i drugi interni revizori trebaju pratiti promjene prakse u industriji te pravne presedane koji se mijenjaju. Trebali bi predvidjeti tko bi jednom mogao tražiti pristup proizvodima njihova rada.
8. Politika odobravanja pristupa dokumentaciji angažmana trebala bi se također pozabaviti sljedećim pitanjima:• proces za rješavanje pitanja pristupa• vremensko razdoblje čuvanja svake vrste radnog materijala• proces edukacije i dodatne edukacije osoblja interne revizije u pogledu rizika i
pitanja vezanih uz pristup njihovim radnim materijalima
268
Okvir profesionalnog djelovanja
• zahtjev za periodičkim ispitivanjem industrije kako bi se utvrdilo tko bi mogao tražiti pristup radnim materijalima u budućnosti.
9. Pravilo bi trebalo pružiti smjernicu internom revizoru u utvrđivanju kada revizija zahtijeva istragu, tj. kada revizija postaje istraga koju treba rješavati odvjetnik te koje posebne procedure treba slijediti u komunikaciji s pravnikom. Politika bi također trebala pokrivati pitanje izrade pisma o čuvanju tajne tako da bilo koje informacije dane odvjetniku ostanu tajne.
10. Interni revizori također trebaju educirati odbor i upravu o rizicima pristupa dokumentaciji iz angažmana. Politika vezana uz odobravanje pristupa dokumentaciji iz angažmana, način rješavanja takvih zahtjeva te procedure treba provoditi kada revizija zahtijeva istragu trebaju se razmotriti od strane odbora za reviziju upravnog odbora (ili ekvivalentnog upravnog tijela). Specifične politike će varirati ovisno o prirodi organizacije i privilegijama pristupa koje su zakonski ustanovljene.
11. Pažljiva priprema dokumentacije iz angažmana je važna kada je potrebno otkrivanje dokumenata. Potrebno je uzeti u obzir sljedeće korake:• Otkrijte samo dokumente koji su zatraženi. Dokumentacija iz angažmana s
mišljenjima i preporukama u pravilu se ne otkriva. Dokumenti koji otkrivaju misaoni proces odvjetnika ili strategije u pravilu će biti tajni i neće podlijegati prisilnoj obvezi otkrivanja.
• Izdajte samo preslike, zadržite originale, posebice ako su dokumenti pisani olovkom. Ako sud zahtijeva originale, interna revizija treba zadržati presliku.
• Označite svaki dokument kao povjerljiv te stavite napomenu na svaki dokument da njegova daljnja distribucija nije dozvoljena bez odobrenja.
269
Preporuke za rad
Preporuka za rad 2330.A2-1:Zadržavanje dokumentacije
Tumačenje Standarda 2330.A2 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2330.A2 – Glavni revizor treba formirati uvjete čuvanja dokumentacije iz angažmana. Ti uvjeti čuvanja trebaju biti dosljedni sa smjernicama organizacije te svim relevantnim regulatornim i ostalim zahtjevima.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izrade uvjeta čuvanja dokumentacije. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Uvjeti čuvanja dokumentacije trebaju biti dizajnirani tako da uključuju svu dokumentaciju angažmana neovisno o formatu u kojem je dokumentacija pohranjena.
270
Okvir profesionalnog djelovanja
Preporuka za rad 2340-1:Nadzor angažmana
Tumačenje Standarda 2340 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2340 – Nadzor angažmanaAngažman treba propisno nadzirati kako bi se osiguralo postizanje ciljeva, zajamčila kvaliteta te kako bi se osoblje usavršavalo.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom nadzora angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Glavni revizor je zadužen za osiguravanje odgovarajućeg nadzora angažmana. Nadzor je proces koji počinje planiranjem, nastavlja se kroz ispitivanje, vrednovanje, priopćavanje i praćenje angažmana. Nadzor uključuje sljedeće:• Osigurati da dodijeljeni revizori posjeduju odgovarajuće znanje, vještine i druge
sposobnosti potrebne za obavljanje angažmana.• Davanje odgovarajućih uputa tijekom planiranja angažmana i odobravanje
programa angažmana.• Osigurati da odobreni program angažmana bude proveden, osim ako su izmjene
opravdane i odobrene.• Utvrditi da radna dokumentacija iz angažmana odgovarajuće potkrjepljuje
primjedbe, zaključke i preporuke angažmana.• Osigurati da je priopćavanje vezano uz angažman točno, objektivno, jasno,
sažeto, konstruktivno i pravovremeno.• Osigurati ispunjenje ciljeva angažmana.• Osigurati mogućnosti za razvoj znanja, vještina i drugih sposobnosti internih
revizora.
2. Treba dokumentirati i čuvati odgovarajuće dokaze o nadzoru. Opseg potrebnog nadzora ovisit će o stručnosti i iskustvu internih revizora te složenosti angažmana. Glavni revizor ima sveukupnu odgovornost za pregled, ali može odrediti iskusne članove interne revizije da obave pregled. Iskusni revizori mogu se koristiti za provjeru rada drugih manje iskusnih internih revizora.
271
Preporuke za rad
3. Svi zadaci interne revizije, bez obzira provodi li ih interna revizija ili se provode za nju, odgovornost su glavnog revizora. Glavni revizor je odgovoran za sve važne stručne prosudbe donesene u fazama planiranja, ispitivanja, vrednovanja, izvješćivanja i praćenja angažmana. Glavni revizor treba primijeniti odgovarajuća sredstva kako bi osigurao ispunjavanje te odgovornosti. Odgovarajuća sredstva uključuju politike i procedure koje su osmišljene tako da:• smanjuju rizik od mogućnosti da interni revizori ili druge osobe koje rade
za internu reviziju donesu stručne prosudbe koje nisu u skladu sa stručnom prosudbom glavnog revizora tako da rezultiraju značajnim negativnim učinkom na angažman
• rješavaju razlike u profesionalnim prosudbama glavnog revizora i osoblja interne revizije u pogledu važnih pitanja vezanih uz angažman; ova sredstva mogu uključivati: (a) raspravu o bitnim činjenicama; (b) dodatne upite i/ili istraživanje; i (c) dokumentaciju i rješavanje različitih stajališta u radnoj dokumentaciji angažmana. U slučajevima razilaženja u stručnoj prosudbi po pitanju etičkog problema, odgovarajuća sredstva mogu uključivati i prosljeđivanje predmeta osobama nadležnim za etička pitanja u organizaciji.
4. Nadzor obuhvaća i obuku i usavršavanje osoblja, vrednovanje učinkovitosti zaposlenika, kontrolu utrošenog vremena i troškova te slična administrativna područja.
5. Sva radna dokumentacija iz angažmana treba biti provjerena kako bi se osiguralo da propisno potkrjepljuje priopćenje angažmana te da su obavljene sve potrebne revizijske procedure. Kao dokaz o nadzornom pregledu osoba koja pregledava materijale treba parafirati i datirati svaki radni dokument nakon što ga pregleda. Ostale tehnike koje dokazuju nadzorni pregled su popunjavanje liste zadataka za pregled radnih papira angažmana, pripremanje okružnice koja navodi prirodu, opseg i rezultate pregleda, i/ili vrednovanje i prihvaćanje u elektroničkom softveru za radne dokumente.
6. Osobe zadužene za pregled izrađuju pisanu evidenciju (bilješke pregleda) o pitanjima koja proistječu iz procesa pregleda. Kod rješavanja bilješki provjere treba obratiti pažnju da radna dokumentacija pruža odgovarajuće dokaze kako su pitanja koja su se pojavila prilikom pregleda riješena. Prihvatljive alternative vezano uz raspolaganje bilješkama pregleda su sljedeće:• čuvati bilješke pregleda kao evidenciju pitanja koje je postavila osoba zadužena
za pregled te koraka koji su poduzeti u njihovu rješavanju• baciti bilješke pregleda nakon što su proizašla pitanja riješena te nakon što je
odgovarajuća radna dokumentacija izmijenjena i dopunjena kako bi se osigurale dodatne tražene informacije.
272
Okvir profesionalnog djelovanja
Preporuka za rad 2400-1:Pravni obziri u priopćavanju rezultata
Tumačenje Standarda 2400 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2400 – Priopćavanje rezultataInterni revizori trebaju priopćiti rezultate angažmana.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja rezultata revizijskog angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni prilikom priopćavanja rezultata .
Oprez – Interni revizori se potiču da potraže pravni savjet u svim predmetima koji se tiču pravnih pitanja budući da propisi mogu znatno varirati u različitim nadležnostima. Smjernice iz ove Preporuke za rad temelje se prvenstveno na pravnom sustavu Sjedinjenih Američkih Država.
1. Interni revizori trebaju biti oprezni prilikom uključivanja rezultata i izdavanja mišljenja u revizijskim priopćenjima i radnoj dokumentaciji vezano uz kršenja zakona i propisa te uz druga pravna pitanja. Preporučuje se ustanovljena politika i procedure vezano uz rješavanje takvih pitanja te bliska suradnja s drugim odgovarajućim područjima (pravno savjetovanje, udovoljavanje propisima, itd.).
2. Interni revizori trebaju prikupljati dokaze, davati analitičke prosudbe, izvještavati o svojim rezultatima te osigurati korektivno djelovanje. Obaveza internih revizora da dokumentiraju evidenciju angažmana može biti u suprotnosti sa željom pravnika da se ne ostavljaju dokazi koji se mogu otkriti i koji bi mogli naštetiti obrani. Primjerice, čak iako interni revizor propisno provede istragu, otkrivene činjenice mogu naštetiti slučaju odvjetnika organizacije. Pravilno planiranje i određivanje politike vrlo je važno tako da otkrivanje ne postavi odvjetnika korporacije i internog revizora na suprotstavljene strane. Ovakva politika trebala bi uključivati definiciju uloga i metode priopćavanja. Interni revizor i odvjetnik također trebaju njegovati etički i preventivni aspekt u cijeloj organizaciji tako da osvještavaju i educiraju upravu o utvrđenoj politici. Interni revizori trebaju razmotriti sljedeće, posebice u vezi s angažmanima koji bi mogli zahtijevati otkrivanje ili dostavljanje rezultata stranama izvan organizacije.
273
Preporuke za rad
3. Četiri su elementa potrebna za povjerljivi odnos između odvjetnika i klijenta. Oni su:• priopćenje• između „zaštićenih osoba“• u povjerenju• u svrhu traženja, dobivanja ili pružanja pravne pomoći klijentu.
Takvo pravo odvjetničke tajne, koje se koristi prvenstveno za zaštitu komunikacije s odvjetnicima, može se također primijeniti i na komunikaciju s trećim stranama u suradnji s odvjetnikom.
4. Neki sudovi su priznali tajnost kritičke samoanalize koja štiti od otkrivanja samokritičnih materijala poput proizvoda revizijskog rada. U pravilu, priznavanje ovog prava temelji se na vjerovanju povjerljivost revizije u dotičnim slučajevima ima prednost pred javnim interesom. Prema objašnjenju jednog suda:
Pravo tajnosti samokritične analize priznato je kao kvalificirano pravo koje štiti od otkrivanja određenih kritičnih samoprocjena. To dozvoljava osobama ili poduzećima da iskreno procijene svoju sukladnost s regulatornim i pravnim zahtjevima bez stvaranja dokaza koje bi njihovi protivnici mogli iskoristiti protiv njih u budućim parnicama. Obrazloženje ove doktrine je da takva samokritična procjena njeguje snažan javni interes za poštivanje zakona.
5. U pravilu, tri zahtjeva trebaju biti zadovoljena da bi pravo tajnosti bilo primjenjivo:• informacije koje su zaštićene tim pravom moraju biti rezultat samokritičke
analize koju je obavila strana koja traži pravo zaštite tajnosti• javnost mora imati snažan interes u očuvanju slobodnog tijeka informacija
sadržanih u kritičnoj analizi• informacije moraju biti takvog tipa da bi njihov protok bio ograničen ako bi se
omogućilo njihovo otkrivanje. U nekim su slučajevima sudovi također uzimali u obzir je li kritička analiza
prethodila ili izazvala štetu tužitelju, a tamo gdje analiza dolazi poslije događaja koji su uzrokovali tužbu, opravdanje prava zaštite tajnosti smatra se najsnažnijim.
6. Sudovi su općenito manje skloni priznati pravo zaštite samoprocjene kada dokumente zahtijeva državna institucija, a ne privatni tužitelj; ova nesklonost vjerojatno proizlazi iz priznavanja relativno snažnijeg interesa države u provođenju zakona. Pravo zaštite samoprocjene posebno je relevantno za funkcije i aktivnosti koje imaju ustanovljene semoregulatorne procedure. Bolnice, brokeri koji trguju vrijednosnicama i javna računovodstvena poduzeća su jedne od onih koji su ustanovili takve procedure. Većina tih procedura povezana je s procedurama osiguranja kvalitete koje su pridodane operativnoj aktivnosti poput financijske revizije.
7. Ovo su tri elementa koji moraju biti zadovoljeni kako bi se dokumenti zaštitili od otkrivanja u skladu s doktrinom proizvoda rada. Dokumenti moraju biti:• vrsta proizvoda rada (npr. okružnica, računalni program)
274
Okvir profesionalnog djelovanja
• pripremljeni u očekivanju tužbe• strana koja ih priprema mora biti predstavnik odvjetnika.
8. Dokumenti pripremljeni prije nego što odnos odvjetnik-klijent zaživi nisu zaštićeni doktrinom proizvoda rada. Dostavljanje dokumenata koji su pripremljeni prije zasnivanja odnosa odvjetnik-klijent neće zaštiti te dokumente prema doktrini proizvoda rada. Uz to, doktrina je kvalificirana. Dokumenti neće biti zaštićeni u skladu s doktrinom ako postoji velika potreba za informacijama te ako se informacije ne mogu dobiti na drugi način bez nepotrebne štete. Stoga u dokumentu velike porote: Grand Jury, odbor za reviziju korporacije proveo je razgovore kako bi utvrdio jesu li izvršene upitne inozemne uplate. Njihovo je izvješće zaštićeno od otkrivanja sukladno doktrini proizvoda rada osim onih dijelova koji su sadržavali rezultate razgovora s preminulim osobama. (599F.2d 1224(1979)).
275
Preporuke za rad
Preporuka za rad 2410-1:Kriteriji priopćavanja
Tumačenje Standarda 2410 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2410 – Kriteriji za priopćavanjePriopćenja trebaju uključivati ciljeve angažmana te opseg, kao i primjenjive zaključke, preporuke i planove djelovanja.
Povezani standard 2410.A1 – Konačno priopćenje rezultata trebalo bi, tamo gdje je to primjenjivo, sadržavati sveobuhvatno mišljenje internog revizora ili njegove zaključke.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom priopćavanja rezultata angažmana. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Iako format i sadržaj konačnog priopćenja angažmana mogu varirati ovisno o organizaciji i vrsti angažmana, oni bi trebali sadržavati, najmanje, svrhu, opseg i rezultate angažmana.
2. Konačno priopćenje angažmana može uključivati pozadinske informacije i sažetke. Pozadinske informacije mogu navoditi organizacijske jedinice i revidirane aktivnosti te pružiti relevantna objašnjenja. Također može uključivati status primjedbi, zaključaka i preporuka iz prijašnjih izvješća te indikaciju pokriva li izvješće zakazani angažman ili je odgovor na zahtjev.
3. Izjave svrhe trebaju opisivati ciljeve angažmana i mogu, prema potrebi, informirati čitatelja zašto je angažman proveden i što se očekivalo da će postići.
4. Izjave o opsegu trebaju navesti revidirane aktivnosti i uključivati, prema potrebi, potkrjepljujuće informacije poput revidiranog vremenskog razdoblja. Povezane aktivnosti koje nisu revidirane trebaju biti navedene, prema potrebi, kako bi se odredile granice angažmana. Priroda i opseg obavljenog posla trebaju također biti opisani.
276
Okvir profesionalnog djelovanja
5. Rezultati trebaju uključivati primjedbe, zaključke, mišljenja, preporuke i planove djelovanja.
6. Primjedbe su odgovarajuće činjenične izjave. Primjedbe koje su potrebne kao podrška ili koje bi spriječile krivo razumijevanje zaključaka i preporuka internog revizora trebaju biti uključene u konačno priopćenje angažmana. Manje važne primjedbe ili preporuke mogu se prenijeti neformalno.
7. Primjedbe i preporuke angažmana proizlaze iz procesa usporedbe stanja kakvo je i kakvo bi trebalo biti. Na temelju toga postoji li između njih razlika, interni revizor ima osnovu na kojoj može graditi izvješće. Kada stanje zadovoljava kriterije, prikladno je priznavanje zadovoljavajuće izvedbe u priopćenjima angažmana. Primjedbe i preporuke trebaju se temeljiti na sljedećim karakteristikama:• Kriterij: standardi, mjere ili očekivanja korišteni u vrednovanju i/ili verifikaciji
(ono što bi trebalo postojati)• Stanje: činjenični dokazi koje je interni revizor pronašao tijekom ispitivanja (ono
što postoji)• Uzrok: razlog razlika između očekivanog i stvarnog stanja (zašto razlika
postoji)• Posljedica: rizik ili izlaganje s kojim se organizacija i/ili drugi susreću jer stanje
nije sukladno kriteriju (utjecaj razlike). U određivanju stupnja izlaganja riziku interni revizori trebaju uzeti u obzir posljedice koje njihove primjedbe i preporuke mogu imati na poslovanje i financijska izvješća organizacije.
• Primjedbe i preporuke također mogu uključivati postignuća klijenta, povezana pitanja i potkrjepljujuće informacije, ako nisu uključeni u neki drugi dio.
8. Zaključci i mišljenja su procjene internog revizora o posljedicama primjedbi i preporuka o pregledanim aktivnostima. Oni obično stavljaju primjedbe i preporuke u određeni okvir na temelju njihovih sveukupnih implikacija. Zaključci angažmana, ako su uključeni u izvješće angažmana, trebaju biti jasno navedeni kao takvi. Zaključci mogu obuhvaćati cjelokupni opseg angažmana ili njegove određene aspekte. Oni mogu pokrivati, ali nisu ograničeni na činjenicu udovoljavaju li operativni i programski ciljevi i svrhe onima organizacije, udovoljava li se ciljevima organizacije te funkcionira li aktivnost koja se revidira onako kako bi trebala. Mišljenje može uključivati sveukupnu procjenu kontrola ili područja koje se revidira ili može biti ograničeno na određene kontrole ili aspekte angažmana.
9. Priopćenje treba uključivati preporuke za potencijalna poboljšanja, priznanja zadovoljavajuće izvedbe i korektivne akcije. Preporuke se temelje na primjedbama i zaključcima internog revizora. One pozivaju na djelovanje u ispravljanju postojećih uvjeta ili operacije usavršavanja. Preporuke mogu predlagati pristupe ispravljanju ili unaprjeđivanju izvedbe kao vodič upravi u postizanju željenih rezultata. Preporuke mogu biti općenite ili određene. Primjerice, u određenim okolnostima, može biti poželjno preporučiti opći smjer djelovanja i specifične prijedloge za primjenu. U
277
Preporuke za rad
drugim okolnostima može biti prikladno samo predložiti daljnje istraživanje ili ispitivanje.
10. Postignuća klijenta, što se tiče napretka od prošlog angažmana ili uspostavljanja kvalitetno kontroliranog rada, mogu se uključiti u konačno priopćenje angažmana. Ta informacija može biti potrebna za vjerodostojno predstavljanje postojećih uvjeta i davanje odgovarajuće perspektive i ravnoteže konačnom priopćenju angažmana.
11. Pogledi klijenta na zaključke iz angažmana, mišljenja ili preporuke mogu se uključiti u izvještaj angažmana.
12. U sklopu razgovora internog revizora s klijentom, interni revizor treba pokušati dobiti suglasnost o rezultatima angažmana te o planu djelovanja za unaprjeđenje poslovanja, prema potrebi. Ako se interni revizor i klijent ne slažu oko rezultata angažmana, priopćenje može navoditi oba stajališta te razloge neslaganja. Pismeni komentari klijenta mogu se uključiti kao prilog izvješću o angažmanu. Osim toga, stajališta klijenta mogu se prezentirati u glavnom dijelu teksta ili u popratnom pismu.
13. Određene informacije možda se ne bi trebale otkrivati svim primateljima izvješća jer su povjerljive, osobne ili vezane uz nepropisna ili nezakonita djela. Međutim, takve informacije se mogu iznijeti u posebnom izvješću. Ako stanje o kojem se izvještava uključuje viši menadžment, izvješće bi se trebalo distribuirati odboru organizacije.
14. Privremena izvješća mogu biti u pisanom ili usmenom obliku te se mogu prenijeti formalno ili neformalno. Međuizvještaji se mogu koristiti za priopćavanje informacija koje zahtijevaju trenutnu pažnju, za priopćenje o promjeni u opsegu angažmana za aktivnost koja se revidira ili da bi se upravu obavijestilo o napredovanju angažmana kada se angažman proteže na dugo vremensko razdoblje. Korištenje međuizvještaja ne umanjuje niti eliminira potrebu za konačnim izvješćem.
15. Potpisano izvješće treba se izdati nakon završetka angažmana. Za razine uprave iznad klijenta angažmana možda bi bila prikladna sažeta izvješća koja ističu rezultate angažmana. Ona se mogu izdati zasebno ili zajedno s konačnim izvješćem. Termin “potpisan” znači da ime ovlaštenog internog revizora treba biti ručno potpisano na izvješću. Osim toga, potpis se može staviti i na popratno pismo. Interni revizor ovlašten za potpisivanje izvješća treba biti imenovan od strane glavnog revizora. Ako se izvješća o angažmanu šalju elektroničkim putem, interna revizija treba čuvati arhiviranu potpisanu verziju izvješća.
278
Okvir profesionalnog djelovanja
Preporuka za rad 2420-1:Kvaliteta priopćenja
Tumačenje Standarda 2420 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2420 – Kvaliteta priopćenjaPriopćenja trebaju biti točna, objektivna, jasna, precizna, konstruktivna, potpuna i pravovremena.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom pripreme priopćenja. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Točna priopćenja ne sadrže greške i iskrivljene informacije te su vjerna temeljnim činjenicama. Način na koji se podaci i dokazi prikupljaju, vrednuju i sažimlju za prezentaciju treba biti pažljiv i precizan.
2. Objektivna priopćenja su fer, nepristrana i bez predrasuda te su rezultat razumne i uravnotežene procjene svih relevantnih činjenica i okolnosti. Primjedbe, zaključci i preporuke trebaju proizlaziti i biti izraženi bez predrasuda, privrženosti, osobnih interesa i neumjesnog utjecaja drugih.
3. Jasna priopćenja su jednostavna za razumjeti i logična. Jasnoća se može poboljšati izbjegavanjem bespotrebnog tehničkog jezika te pružanjem svih važnih i relevantnih informacija.
4. Sažeta priopćenja iznose bit stvari te izbjegavaju nepotrebna elaboracije, suvišne detalje, višak i opširnost. Izrađena su dosljednim revidiranjem i editiranjem prezentacije. Cilj je da svaka misao bude smislena, ali sažeta.
5. Konstruktivna priopćenja pomažu klijentu angažmana i organizaciji te vode k usavršavanju tamo gdje je o potrebno. Sadržaj i ton prezentacije trebaju biti korisni, pozitivni i dobronamjerni te pridonositi ciljevima organizacije.
6. Potpuna priopćenja ne izostavljaju ništa što je važno ciljnoj publici te uključuju sve bitne i relevantne informacije i primjedbe koje potkrjepljuju preporuke i zaključke.
279
Preporuke za rad
7. Pravovremena priopćenja su vremenski raspoređena, prikladna i brza za pažljivo razmatranje onima koji će možda djelovati na temelju preporuka. Tempiranje prezentacije rezultata angažmana treba biti fiksno bez nepotrebnog kašnjenja te uz stupanj hitnosti kako bi se omogućilo brzo, učinkovito djelovanje.
280
Okvir profesionalnog djelovanja
Preporuka za rad 2440-1:Primatelji rezultata angažmana
Tumačenje Standarda 2440 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2440 – Primatelji rezultata angažmanaGlavni revizor treba dostaviti rezultate odgovarajućim stranama.
Povezani standard 2440 .A1 – Glavni revizor je odgovoran za dostavljanje konačnih rezultata stranama koje se mogu pobrinuti da je rezultatima posvećena odgovarajuća pažnja.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom izvještavanja o rezultatima. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori trebaju raspraviti zaključke i preporuke s rukovodstvom odgovarajuće razine prije izdavanja konačnog izvještaja o angažmanu.
2. Rasprava o zaključcima i preporukama obično se provodi tijekom angažmana i/ili na sastancima nakon završetka angažmana (izlazni razgovori). Druga tehnika je pregledavanje nacrta problema iz angažmana, primjedbi i preporuka od strane rukovodstva aktivnosti koja se revidira. Takve rasprave i pregledavanje pomažu osigurati da nije došlo do nesporazuma ili krive interpretacije činjenica tako što pružaju mogućnost da klijent angažmana razjasni određene predmete te da izrazi svoja stajališta o primjedbama, zaključcima i preporukama.
3. Iako razina sudionika u raspravi i pregledima može varirati ovisno o organizaciji i prirodi izvješća, to će obično biti pojedinci koji posjeduju detaljno znanje o poslovima te oni koji mogu odobriti provedbu korektivnih mjera.
4. Glavni revizor ili imenovana osoba trebaju pregledati i odobriti konačni izvještaj prije njegova izdavanja te odlučiti kome će se izvještaj podijeliti. Glavni revizor ili njegova imenovana osoba treba odobriti i može potpisati sva konačna izvješća. Ako prilike to zahtijevaju, treba razmotriti potrebu da izvršni revizor, rukovoditelj ili vodeći revizor potpišu izvješće kao zastupnici glavnog revizora.
281
Preporuke za rad
5. Konačno, priopćenje angažmana treba se poslati onim članovima organizacije koji mogu osigurati da se rezultatima angažmana posveti odgovarajuća pažnja. To znači da izvješće treba dostaviti onim osobama koje su u poziciji poduzimati korektivne mjere ili se pobrinuti da se korektivne mjere poduzmu. Konačno priopćenje angažmana treba se dostaviti rukovodstvu aktivnosti koja se revidira. Više pozicionirani članovi organizacije mogu dobiti i samo sažetak izvještaja. Izvještaj se također može dostaviti drugim zainteresiranim stranama ili stranama na koje izvještaj ima utjecaja poput vanjskih revizora i odbora.
282
Okvir profesionalnog djelovanja
Preporuka za rad 2440-2:Priopćavanje izvan organizacije
Tumačenje Standarda 2440 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2440 – Primatelji rezultata angažmanaGlavni revizor treba dostaviti rezultate odgovarajućim stranama.
Povezani standard 2440 .A2 – Osim ako je drugačije određeno zakonskim, statutarnim ili regulatornim zahtjevima, prije izdavanja rezultata stranama izvan organizacije, glavni revizor treba:• procijeniti potencijalni rizik za organizaciju• konzultirati se s višim menadžmentom i/ili pravnikom prema potrebi• kontrolirati širenje informacija ograničavanjem uporabe rezultata.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge ako se od njih zatraži da šire informacije izvan organizacije. Do takvih situacija može doći kada se od internih revizora traži da dostave izvješće ili neke druge informacije nekome izvan organizacije za koju su usluge interne revizije osigurane. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori bi trebali proučiti smjernicu iz ugovora o angažmanu ili politiku i proceduru organizacije vezano uz prenošenje informacija izvan organizacije. Povelja o reviziji i povelja odbora za reviziju također mogu sadržavati smjernice vezane uz prenošenje informacija izvan organizacije. Ako takva smjernica ne postoji, interni revizor treba omogućiti usvajanje odgovarajuće politike od strane organizacije. Primjeri informacija koje bi mogle biti uključene u politiku su:• potrebno odobrenje za prenošenje informacija izvan organizacije• proces za traženje odobrenja za prenošenje informacija izvan organizacije• smjernice za dozvoljene i nedozvoljene vrste informacija koje se mogu
prenositi• vanjske osobe ovlaštene za dobivanje informacija te vrste informacija koje mogu
dobiti
283
Preporuke za rad
• povezani propisi o povjerljivosti, regulatorni zahtjevi i pravni obziri za prenošenje informacija izvan organizacije
• priroda uvjerenja, savjeta, preporuka, mišljenja, smjernica i ostalih informacija koje se mogu uključiti u priopćenja koja će rezultirati širenjem informacija izvan organizacije.
2. Zahtjevi se mogu odnositi na informacije koje već postoje; primjerice ranije izdano izvješće interne revizije. Također se mogu primiti zahtjevi za informacije koje se tek moraju izraditi ili utvrditi, što rezultira novim angažmanom interne revizije. Ako se zahtjev odnosi na informacije ili izvješće koje već postoji, interni revizor treba pregledati informacije kako bi utvrdio jesu li podobne za širenje izvan organizacije.
3. U određenim situacijama možda će se moći revidirati postojeće izvješće ili informacije kako bi se mogle prenositi izvan organizacije. U drugim situacijama, može se izraditi novo izvješće na temelju prethodno obavljenog posla. Treba posvetiti dužnu profesionalnu pozornost prilikom revidiranja, prilagodbe ili izrade novog izvješća na temelju prethodno obavljenog posla.
4. Prilikom prenošenja informacija izvan organizacije treba uzeti u obzir sljedeće:• potreba za pisanim sporazumom vezano uz informacije koje treba prenijeti• identifikacija pružatelja informacija, izvora, potpisnika izvješća, primatelja
informacija i osoba vezanih uz izvješće ili dostavljene informacije• identifikacija ciljeva, opsega i procedura koje treba provesti prilikom izrade
primjenjivih informacija• priroda izvješća ili drugih komunikacija, uključujući mišljenja, uključivanje ili
isključivanje preporuka, odricanja o odgovornosti, ograničenja i vrste uvjerenja ili tvrdnji koje će se izdati
• pitanja autorskog prava i ograničenja na daljnju distribuciju ili dijeljenje informacija.
5. Angažmani izvršeni radi izrade izvješća interne revizije ili komunikacije koje treba dostaviti izvan organizacije trebaju se provoditi u skladu s primjenjivim Međunarodnim standardima za stručnu provedbu interne revizije (Standardi) te uključivati reference na Standarde u izvješću ili drugim komunikacijama.
6. Ako tijekom provedbe angažmana za širenje informacija izvan organizacije, interni revizor otkrije informacije za koje smatra da bi ih trebao prenijeti rukovodstvu ili odboru za reviziju, interni revizor treba izdati odgovarajuće priopćenje odgovarajućim osobama.
284
Okvir profesionalnog djelovanja
Preporuka za rad 2440-3:Priopćavanje osjetljivih informacija unutar i izvan zapovjednog lanca
Tumačenje Standarda 2440 i Standarda 2600 izMeđunarodnih standarda za stručnu
provedbu interne revizije i Pravila ponašanja u Etičkom kodeksu za integritet i povjerljivost
Povezani standard 2440 – Primatelji rezultata angažmanaGlavni revizor treba dostaviti rezultate odgovarajućim stranama.
Povezani standard 2600 – Rješenje o prihvaćanju rizika od strane upraveKada glavni revizor vjeruje da je viši menadžment prihvatio razinu preostalog rizika koji može biti neprihvatljiv za organizaciju, glavni revizor treba raspraviti to pitanje s višim menadžmentom. Ako se odluka u pogledu preostalog rizika ne riješi, glavni revizor i viši menadžment trebaju obavijestiti odbor o dotičnom predmetu radi njegova razrješenja.
Povezana Pravila ponašanja Etičkog kodeksa – integritetInterni revizori:1.1 obavljati će svoj posao pošteno, marljivo i odgovorno1.2 poštivati će zakon i otkrivati informacije u skladu sa zakonom i strukom1.3 neće svjesno sudjelovati u nezakonitim aktivnostima ili sudjelovati u djelima koja ne služe na čast profesiji interne revizije ili organizacije1.4 poštivati će i pridonositi zakonitim i etičkim ciljevima organizacije.
Povezana Pravila ponašanja Etičkog kodeksa – povjerljivostInterni revizori:3.1 pametno će koristiti i štititi informacije koje steknu u tijeku obavljanja svojih dužnosti.3.2 neće koristiti informacije za osobnu korist niti na bilo koji drugi način koji bi mogao biti protivan zakonu ili štetan po legitimne i etičke ciljeve organizacije.
Priroda ove preporuke za rad: : interni revizor može otkriti informacije o izlaganjima, prijetnjama, nesigurnostima, prijevari, rasipanju i lošem upravljanju, nezakonitim radnjama, zlouporabi moći, nedoličnom ponašanju koje ugrožava javno zdravlje ili sigurnost te ostalim protupravnim djelima. U nekim slučajevima nove će informacije imati
285
Preporuke za rad
značajne posljedice, a potkrjepljujući dokazi će biti solidni i uvjerljivi. Dvojba internog revizora koja se postavlja u takvim situacijama je složena, često uključuje kulturalne razlike i razlike u poslovnoj praksi, pravnim strukturama, lokalnim i nacionalnim zakonima, kao i standardima profesije, etičkim kodeksima i osobnim vrijednostima. Način na koji interni revizor pokušava riješiti situaciju može izazvati odmazdu i potencijalnu zakonsku odgovornost. Zbog tih rizika i posljedica, interni revizor treba biti oprezan u procjenjivanju dokaza i razumnosti svojih zaključaka te preispitati razne potencijalne radnje koje bi mogao poduzeti kod prenošenja osjetljivih informacija osobama koje posjeduju ovlaštenja potrebna za rješavanje situacije i zaustavljanje nepravilnosti. U nekim zemljama određene radnje propisuju lokalni zakoni ili propisi.
Namjera ove preporuke za rad je potaknuti razmišljanje o brojnim problemima i izazovima s kojima bi se interni revizor mogao susresti u takvim situacijama. Iako ova Preporuka za rad pruža informacije i sugerira čimbenike koje bi interni revizor trebao uzeti u obzir, ona ne predstavlja sveobuhvatnu studiju teme te ne nudi pravne ili stručne savjete revizoru. Interni revizori bi trebali potražiti mišljenje pravnika u osjetljivim situacijama i kada su posljedice značajne. Ova Preporuka za rad je izrađena uz maksimalnu pažnju i kao posljedica dugotrajnog razmatranja. Međutim, IIA ne preuzima odgovornost za uporabu informacija iz ove Preporuke za rad niti za njenu primjenjivost na specifične situacije u praksi te ne jamči da će sugerirane radnje biti uspješne.
1. Interni revizori često dođu u posjed informacija koje su iznimno osjetljive i važne organizaciji te imaju važne potencijalne posljedice. Informacije se mogu odnositi na izlaganja, prijetnje, nesigurnosti, prijevaru, rasipanje i loše upravljanje, nezakonite radnje, zlouporabe moći, nedolično ponašanje koje ugrožava javno zdravlje ili sigurnost te ostale protupravne radnje. To može negativno utjecati na ugled, imidž, konkurentnost, uspjeh, održivost, tržišne vrijednosti, ulaganja i nematerijalnu imovinu ili profit organizacije. One vjerojatno povećavaju izlaganje riziku organizacije.
Priopćavanje osjetljivih informacija osobama u zapovjednom lancu
2. Kada interni revizor odluči kako su informacije solidne i uvjerljive, revizor u pravilu treba pravovremeno priopćiti informaciju osobama iz uprave koje mogu reagirati na to. U većini slučajeva, takvo priopćavanje će riješiti stvar iz perspektive internog revizora, naravno ako uprava poduzme odgovarajuće radnje za rješavanje povezanih rizika. Ako priopćavanje rezultira zaključkom da rukovodstvo, neadekvatnim radnjama ili izostankom djelovanja, izlaže organizaciju neprihvatljivoj razini rizika, glavni revizor treba razmotriti druge opcije za postizanje zadovoljavajućeg rješenja.
3. Kao jedan od smjerova djelovanja, glavni revizor treba razgovarati o svojoj zabrinutosti vezano uz izlaganje riziku s višim menadžmentom unutar svog normalnog zapovjednog lanca. Budući da odbor za reviziju ili neki drugi odbor upravnog odbora treba biti dio zapovjednog lanca glavnog revizora, članovi odbora za reviziju
286
Okvir profesionalnog djelovanja
upravnog odbora će obično biti obaviješteni o zabrinutosti glavnog revizora. Ako je glavni revizor još uvijek nezadovoljan nakon razgovora s višim menadžmentom te ako zaključi da viši menadžment izlaže organizaciju neprihvatljivom riziku te da ne poduzima odgovarajuće radnje za zaustavljanje ili ispravljanje situacije, viši menadžment i glavni revizor trebaju predstaviti važne informacije i svoja neslaganja u mišljenju drugim članovima ili odboru za reviziju upravnog odbora.
4. Taj jednostavni scenarij priopćavanja unutar zapovjednog lanca može se ubrzati u nekim vrstama osjetljivih pojava zbog nacionalnih zakona, propisa ili uobičajenih praksi. Primjerice, u slučaju dokaza o prijevare u financijskom izvješćivanju od strane društva čijim se dionicama javno trguje u Sjedinjenim Američkim Državama, propisi određuju da se odbor za reviziju odbora odmah obavijesti o okolnostima vezanim uz mogućnost nepravilnih financijskih izvješća, iako se viši menadžment i glavni revizor možda slažu po pitanju koje radnje treba poduzeti. Zakoni i propisi u nekoliko zemalja određuju da se članovi ili odbor za reviziju upravnog odbora trebaju obavijestiti o otkrivenim kršenjima kaznenih zakona, zakona o vrijednosnicama, hrani, lijekovima ili okolišu i drugim nezakonitim radnjama, poput potkupljivanja ili drugih nepravilnih plaćanja državnim službenicima ili predstavnicima dobavljača ili klijenata.
Priopćavanje izvan zapovjednog lanca
5. U nekim situacijama, interni revizor se može suočiti s dvojbom treba li priopćiti otkrivene informacije osobama izvan normalnog zapovjednog lanca ili čak izvan organizacije. Čin otkrivanja nepovoljnih informacija nekome u organizaciji tko je izvan normalnog zapovjednog lanca pojedinca ili vladinoj instituciji ili drugim vlastima koje su u potpunosti izvan organizacije, obično se naziva “cinkanje”.
6. U studijama cinkanja ustanovilo se da većina cinkaroša otkriva osjetljive informacije interno, čak iako izvan normalnog zapovjednog lanca, posebice ako imaju povjerenja u politiku i mehanizme organizacije da će istražiti optužbe o nezakonitoj ili nekoj dugoj nedoličnoj aktivnosti te da će poduzeti odgovarajuće radnje. Međutim, neke osobe u posjedu osjetljivih informacija, mogu se odlučiti za otkrivanje informacija izvan organizacije, posebice ako se boje odmazde od stane svojih zaposlenika ili kolega, ako sumnjaju da će se predmet propisno istražiti, vjeruju da će se zataškati ili posjeduju informacije o nezakonitoj ili nepropisnoj aktivnosti koja ugrožava zdravlje, sigurnost ili dobrobit ljudi u organizaciji ili zajednici. Primarni motiv većine cinkaroša koji djeluju u dobroj vjeri je zaustavljanje nezakonitog, štetnog ili nepropisnog ponašanja.
7. Interni revizor koji se suočava sa sličnom dvojbom i treba razmotriti sve moguće opcije treba procijeniti alternativne načine priopćavanja rizika nekoj osobi ili grupi koja se nalazi izvan njegovog/njenog normalnog zapovjednog lanca. Zbog rizika i
287
Preporuke za rad
posljedica vezanih uz taj pristup, interni revizor treba pažljivo procijeniti dokaze i razumnost svojih zaključaka i ispitati prednosti i mane svake potencijalne radnje. Poduzimanje ove vrste radnje od strane internog revizora može biti prikladno ako će rezultirati odgovornom akcijom osoba u višem menadžmentu ili na vladajućim položajima poput članova upravnog odbora ili jednog od vijeća. Interni revizor će vjerojatno uzeti kao posljednju opciju prenošenje informacija izvan upravne strukture organizacije. Interni revizor bi ostavio takvu vrstu akcije za rijetke prilike kada je uvjeren/a da je rizik i njegove moguće posljedice ozbiljan te da postoji velika mogućnost da postojeće rukovodstvo i upravni mehanizmi ne mogu ili neće učinkovito riješiti rizik.
8. Mnoge zemlje članice OECD-a (Organization for Economic Cooperation and Development) imaju zakone ili administrativne propise koji zahtijevaju da državni službenici koji znaju za nezakonita ili neetička djela obavijeste o njima glavnog inspektora, nekog drugog javnog službenika ili pučkog pravobranitelja. Neki nacionalni zakoni koji se odnose na akcije poput cinkanja štite građane ako otkriju određene tipove nepropisnih aktivnosti. Među tim aktivnostima navedenim u zakonima i propisima tih zemalja nalaze se:• kazneni prekršaji i ostala kršenja zakonskih obveza• djela koja se smatraju pogrješnom primjenom prava• djela koja ugrožavaju zdravlje, sigurnost ili dobrobit pojedinaca• djela koja štete okolišu• djela prikrivanja ili zataškavanja gore navedenih djela.
Neke druge zemlje ne nude nikakve smjernice niti zaštitu. Interni revizor treba biti svjestan zakona i propisa različitih lokacija na kojima organizacija posluje te treba poduzeti radnje koje su dosljedne zakonskim propisima. Interni revizor treba razmotriti traženje pravnog savjeta ako nije siguran/a u vrijedeće pravne zahtjeve.
9. Mnoge stručne udruge smatraju obvezom svojih članova da otkriju nezakonite ili neetičke radnje. Znak raspoznavanja struke je njeno prihvaćanje širokog spektra odgovornosti prema javnosti i njena zaštita javnog dobra. Osim proučavanja pravnih obveza, članovi IIA-a i svi ovlašteni interni revizori trebali bi slijediti preporuke navedene u Etičkom kodeksu IIA-a vezano uz nezakonite ili neetičke radnje.
Odluka internog revizora
10. Interni revizor ima profesionalnu dužnost i etičku odgovornost pažljivo procijeniti sve dokaze i razumnost svojih zaključaka te odlučiti je li potrebno poduzimanje dodatnih radnji radi zaštite interesa organizacije, njenih zainteresiranih strana, vanjske zajednice ili institucija društva. Revizor će također trebati razmotriti obvezu čuvanja povjerljivosti koju zahtijeva Etički kodeks IIA-a radi poštivanja vrijednosti i posjeda nad informacijama te izbjegavati njihovo otkrivanje bez odgovarajućeg
288
Okvir profesionalnog djelovanja
ovlaštenja, osim ako postoji profesionalna ili zakonska obveza da to uradi. U ovom procesu vrednovanja, revizor treba potražiti savjet ili pravno mišljenje te, prema potrebi, mišljenje drugih stručnjaka. Takvi razgovori mogu biti od pomoći u davanju drugačije perspektive na okolnosti, kao i davanju mišljenja o potencijalnom utjecaju i posljedicama različitih mogućih akcija. Način na koji interni revizor pokušava riješiti ovu vrstu složene i osjetljive situacije može rezultirati odmazdom i potencijalnom odgovornošću pred zakonom.
11. Najzad, interni revizor mora donijeti osobnu odluku. Odluka o otkrivanju informacija izvan normalnog zapovjednog lanca treba se temeljiti na dobro utemeljenom mišljenju da za nepropisno ponašanje postoje solidni, uvjerljivi dokazi te da zakonska ili propisna obveza ili profesionalna ili etička obveza zahtijeva daljnje djelovanje. Motiv revizora za djelovanje treba biti želja da zaustavi bespravnu, štetnu ili nedoličnu aktivnost.
289
Preporuke za rad
Preporuka za rad 2500-1:Praćenje napretka
Tumačenje Standarda 2500 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2500 – Praćenje napretka• Glavni revizor treba uspostaviti i održavati sustav za praćenje raspolaganja rezultatima koji se prenose upravi.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom praćenja napretka rezultata koji se dostavljaju upravi. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Glavni revizor treba ustanoviti procedure koje će uključivati:• vremenski rok unutar kojega se traži odgovor na primjedbe i preporuke iz
angažmana• procjenu odgovora uprave• verifikaciju odgovora (prema potrebi)• praćenje angažmana (prema potrebi)• proceduru priopćavanja koja eskalira nezadovoljavajuće odgovore/radnje,
uključujući pretpostavku rizika, do odgovarajućih razina rukovodstva.
2. Određene dostavljene primjedbe i preporuke mogu biti toliko značajne da zahtijevaju hitno djelovanje uprave. Interna revizija treba pratiti takvo stanje dok se ono ne ispravi zbog utjecaja koji može imati na organizaciju.
3. Tehnike koje se primjenjuju za učinkovito praćenje napretka uključuju:• Upućivanje primjedbi i preporuka angažmana odgovarajućim razinama
rukovodstva odgovornim za poduzimanje korektivnih radnji.• Primanje i procjenjivanje odgovora uprave na primjedbe i preporuke angažmana
tijekom angažmana ili unutar razumnog vremenskog razdoblja nakon priopćavanja rezultata angažmana. Odgovori su korisniji ako uključuju dovoljno informacija na temelju kojih glavni revizor može procijeniti adekvatnost i pravovremenost korektivne radnje.
• Primanje periodičkih ažuriranih informacija od uprave kako bi mogli procijeniti stanje napora uprave da ispravi prethodne priopćeno stanje.
290
Okvir profesionalnog djelovanja
• Primanje i procjena informacija iz drugih organizacijskih jedinica odgovornih za procedure praćenja ili korektivnog djelovanja.
• Izvještavanje višem menadžmentu ili odboru o statusu odgovora na primjedbe i preporuke.
291
Preporuke za rad
Preporuka za rad 2500.A1-1:Proces praćenja
Tumačenje Standarda 2500 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard • 2500.A1 – Glavni revizor treba uspostaviti proces praćenja kako bi osigurao da su akcije uprave učinkovito provedene ili da je viši menadžment prihvatio rizik nepoduzimanja radnji.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge prilikom uspostavljanja procesa praćenja. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Interni revizori trebaju utvrditi kako su poduzete korektivne mjere te da postižu željene rezultate ili da je viši menadžment ili odbor preuzeo rizik nepoduzimanja korektivnih mjera vezano uz priopćene primjedbe.
2. Praćenje od strane internih revizora je definirano kao proces kojim oni utvrđuju prikladnost, učinkovitost i pravovremenost radnji poduzetih od strane uprave u pogledu priopćenih primjedbi i preporuka iz angažmana, uključujući one internih revizora i drugih.
3. Odgovornost za praćenje treba se definirati u pisanoj povelji o internoj reviziji. Prirodu, vremenski raspored i opseg praćenja treba odrediti glavni revizor. Čimbenici koje treba razmotriti u utvrđivanju odgovarajućih procedura praćenja su:• značaj priopćene primjedbe ili preporuke• stupanj napora i trošak potreban za ispravljanje priopćenog stanja• utjecaj koji može rezultirati, ako korektivna mjera ne uspije• kompleksnost korektivne mjere• potrebno vremensko razdoblje.
4. Također može biti slučajeva u kojima će glavni revizor prosuditi da je usmeni ili pismeni odgovor uprave o već poduzetim mjerama dovoljan kada se odmjeri u odnosu na relativnu važnost primjedbe ili preporuke angažmana. U takvim slučajevima, praćenje se može provesti kao dio sljedećeg angažmana.
5. Interni revizori trebaju utvrditi da mjere poduzete u vezi primjedbi i preporuka iz angažmana rješavaju temeljno stanje.
292
Okvir profesionalnog djelovanja
6. Glavni revizor je odgovoran za planiranje aktivnosti praćenja kao dijela razvijanja programa rada angažmana. Planiranje praćenja treba se temeljiti na riziku i izlaganju, kao i stupnju težine i značenju vremena u provedbi korektivnih mjera.
293
Preporuke za rad
Preporuka za rad 2600-1:Prihvaćanje rizika od strane uprave
Tumačenje Standarda 2600 izMeđunarodnih standarda za stručnu
provedbu interne revizije
Povezani standard 2600 – Prihvaćanje rizika od strane upraveAko glavni revizor vjeruje da je viši menadžment prihvatio razinu preostalog rizika koji je neprihvatljiv za organizaciju, glavni revizor treba razgovarati o dotičnom pitanju s višim menadžmentom. Ako odluka u vezi preostalog rizika nije riješena, glavni revizor i viši menadžment trebaju o tome obavijestiti odbor radi rješavanja problema.
Priroda ove preporuke za rad: : interni revizori u obzir trebaju uzeti sljedeće prijedloge koji se tiču prihvaćanja rizika od strane uprave. Ove smjernice ne predstavljaju sve aspekte koji mogu biti potrebni, nego preporučuju skup pojedinosti na koje treba obratiti pozornost.
1. Uprava je odgovorna za odlučivanje o odgovarajućim mjerama koje treba poduzeti kao odgovor na priopćene primjedbe i preporuke angažmana. Glavni revizor je odgovoran za procjenu tih mjera koje poduzme uprava za pravovremeno rješavanje predmeta koji su prijavljeni kao primjedbe i preporuke u sklopu angažmana. Pri odlučivanju o opsegu praćenja interni revizori trebaju uzeti u obzir procedure prirode praćenja koje obavljaju drugi u organizaciji.
2. Kao što je navedeno u poglavlju 2060 Međunarodnih standarda za stručnu provedbu interne revizije (Standardi), odlomak 3 Preporuke za rad 2060-1, viši menadžment može odlučiti preuzeti rizik neispravljanja priopćenog stanja zbog troškova ili drugih obzira. Odbor bi trebao biti obaviješten o odluci višeg menadžmenta o svim važnim primjedbama i preporukama angažmana.
295
PRIJEVOD ILI PRILAGODBA OKVIRA PROFESIONALNOG DJELOVANJA I POVEZANIH
SMJERNICA
(Administrativna direktiva br. 2)
Svrha
Ovaj dio opisuje administrativne procedure za prilagodbu Okvira profesionalnog djelovanja i povezanih smjernica za revizorska okruženja u cijelom svijetu i/ili njihovo prevođenje na druge jezike osim engleskog.
Pravna osnova
Okvir profesionalnog djelovanja i povezane smjernice Instituta internih revizora (IIA) zaštićeni su autorskim pravom Instituta internih revizora, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, bez obzira jesu li zasebno izdani ili izdani u nekoj od publikacija IIA-a. Sva prava su pridržana.
Sukladno zakonima i ugovorima o autorskim pravima niti jedan dio Okvira ili povezanih smjernica ne smije se reproducirati, pohranjivati u sustavima za pretraživanje niti prevoditi u bilo kojem obliku niti bilo kojim sredstvima – elektronički, mehanički, fotokopiranjem, snimanjem ili na neki drugi način - bez prethodnog pismenog odobrenja IIA-a. Ako nije
296
Okvir profesionalnog djelovanja
drugačije određeno zasebnim ugovorom, dozvolu za prilagodbu ili prijevod Okvira i povezanih smjernica odobrava samo IIA. Distribucija odobrenih prilagodbi ili prijevoda treba se vršiti pod rukovodstvom podružnica IIA-a.
Prijevod
Prijevod Okvira IIA-a i povezanih smjernica na jezike osim engleskog potreban je kako bi se svim članovima IIA-a i podružnicama IIA-a omogućila jednaka razina smjernica. Prije početka prevođenja potrebno je dobiti odobrenje IIA-a kako bi se dobile odgovarajuće smjernice, a u slučaju da su prijevodi već započeti treba izbjegavati bespotrebne varijacije u prijevodima na neki drugi jezik.
IIA potiče svoje podružnice u kojima engleski nije glavni jezik da osiguraju prijevode Okvira IIA-a i povezanih smjernica svojim članovima, uz uvjet:
1. prijevod treba biti u što sličnijem obliku te zadržavati koncept originala
2. kopije prevedenih dokumenata predaju se IIA-u zajedno s izjavom potpisanom od strane predsjednika podružnice IIA i ovlaštenog prevoditelja kojim se potvrđuje da su značenja i koncepti originala očuvani
3. treba dobiti odobrenje IIA-a prije objavljivanja prijevoda
4. potrebno je osigurati minimalnu razinu smjernica, prevedeni Okvir i povezana smjernica uključuju Definiciju interne revizije, Etički kodeks, Međunarodne standarde za stručnu provedbu interne revizije – Opće standarde, Standarde učinkovitosti i Standarde primjene.
5. prevedena verzija mora uključiti prevedenu izjavu da je „Dobiveno odobrenje od imatelja autorskih prava, Instituta internih revizora, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201 USA, za objavljivanje ovog prijevoda koji je istovjetan originalu u svim materijalnim aspektima kao i original.“
Prilagodba
Zakoni, propisi i običaji različitih zemalja mogu zahtijevati prilagodbu određene Smjernice kako bi se ona mogla primjenjivati u revizorskom okruženju tih zemalja. Prije objavljivanja prilagođene Smjernice svojim članovima, podružnice IIA-a trebaju:
1. Obratiti se IIA-u s molbom za odobrenje prilagodbe, navodeći prirodu izmjena, razloge zbog kojih su potrebne te učinak na profesionalnu praksu interne revizije u zemlji, ako se takve izmjene ne izvrše.
297
2. Dostaviti kopije prilagođenih, i prema potrebi, prevedenih dokumenta IIA-u uz popratnu izjavu kojom se potvrđuje da su koncepti iz originalnog dokumenta sačuvani u prilagodbi u onoj mjeri u kojoj se mogu primijeniti na lokalno okruženje. Izjave mora potpisati predsjednik podružnice IIA-a te, za prevedene dokumente, stručni prevoditelj.
3. Uključiti u sve prilagođene verzije izjavu da je “Dobiveno odobrenje od imatelja autorskih prava, Instituta internih revizora 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201 USA, za objavljivanje ove prilagodbe originala za uporabu u [ime države]. Koncepti objavljeni u originalu sačuvani su u ovoj prilagođenoj verziji.
Prijevod ili prilagodba okvira profesionalnog djelovanja i povezanih smjernica
300
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
2410
ser
ies
serij
a 24
10
Aud
itors
sho
uld
refe
r to
vario
us p
ract
ice
advi
sorie
s in
the
2410
ser
ies
and
othe
r IIA
pra
ctic
e ai
ds, s
uch
as P
ract
ical
C
onsi
dera
tions
Reg
ardi
ng In
tern
al A
uditi
ng E
xpre
ssin
g an
O
pini
on o
n In
tern
al C
ontro
ls.
Rev
izor
i se
tre
baju
po
služ
iti
razl
ičiti
m
napu
tcim
a za
pra
ksu
inte
rne
revi
zije
u s
eriji
241
0, t
e dr
ugim
m
ater
ijalim
a, k
ao š
to s
u “P
rakt
ična
raz
mat
ranj
a u
svez
i izr
ažav
anja
miš
ljenj
a in
tern
e re
vizi
je o
inte
rnim
ko
ntro
lam
a.”
7 C
OB
IT in
form
atio
n cr
iteria
seda
m in
form
acijs
kih
krite
rija
CO
BIT
-a
7 C
OB
IT in
form
atio
n cr
iteria
cou
ld in
clud
e th
e fo
llow
ing:
E
ffect
iven
ess;
E
ffici
ency
; C
onfid
entia
lity;
In
tegr
ity;
Ava
ilabi
lity;
Com
plia
nce;
and
Rel
iabi
lity
of In
form
atio
n.
Sed
am
info
rmac
ijski
h kr
iterij
a C
OB
IT-a
m
ože
uklju
čiva
ti sl
jede
će:
učin
kovi
tost
, dj
elot
vorn
ost,
povj
erlji
vost
, vj
erod
osto
jnos
t, do
stup
nost
, su
klad
nost
s
prop
isim
a te
pou
zdan
ost i
nfor
mac
ija.
acce
ptan
ce o
f ris
kspr
ihva
ćanj
e riz
ika
Man
agem
ent
and
the
boar
d ha
ve
dete
rmin
ed
the
leve
l of
ris
ks a
ccep
tabl
e to
the
org
aniz
atio
n, i
nclu
ding
th
e ac
cept
ance
of
ris
ks
desi
gned
to
ac
com
plis
h th
e or
gani
zatio
n s
stra
tegi
c pl
ans.
Ruk
ovod
stvo
i up
rava
odr
eđuj
u ra
zine
riz
ika
koje
su
prih
vatlj
ive
za o
rgan
izac
iju,
uklju
čuju
ći p
rihva
ćanj
e riz
ika
koji
služ
e za
os
tvar
ivan
je
stra
tešk
ih
cilje
va
orga
niza
cije
.
acco
unta
bilit
yod
govo
rnos
t
Ste
ps c
an b
e ta
ken
to m
inim
ize
the
effe
cts
of im
pairm
ent
by a
ssig
ning
diff
eren
t au
dito
rs t
o pe
rform
eac
h of
the
se
rvic
es,
esta
blis
hing
in
depe
nden
t m
anag
emen
t an
d su
perv
isio
n, d
efin
ing
sepa
rate
acc
ount
abili
ty fo
r the
resu
lts
of th
e pr
ojec
ts, a
nd d
iscl
osin
g th
e pr
esum
ed im
pairm
ent.
Neg
ativ
an
učin
ak
sman
jene
ob
jekt
ivno
sti
mož
e se
ub
laži
ti sl
jede
ćim
m
jera
ma:
do
djel
om
razl
ičiti
h vr
sta
zada
taka
i
uslu
ga
razl
ičiti
m
revi
zorim
a,
uvođ
enje
m n
ezav
isno
g su
stav
a up
ravl
janj
a i n
adzo
ra,
utvr
điva
njem
poj
edin
ačne
odg
ovor
nost
i za
rez
ulta
te
proj
ekat
a te
ra
zotk
rivan
jem
na
vodn
ih
sluč
ajev
a sm
anje
ne o
bjek
tivno
sti.
acco
unta
ntra
čuno
vođa
Out
side
serv
ice
prov
ider
s inc
lude
, am
ong
othe
rs, a
ctua
ries,
ac
coun
tant
s,
appr
aise
rs,
envi
ronm
enta
l sp
ecia
lists
, fra
ud
inve
stig
ator
s,
law
yers
, en
gine
ers,
ge
olog
ists
, se
curit
y sp
ecia
lists
, st
atis
ticia
ns,
info
rmat
ion
tech
nolo
gy
spec
ialis
ts, t
he o
rgan
izat
ion
s ex
tern
al a
udito
rs, a
nd o
ther
au
ditin
g or
gani
zatio
ns.
Van
jski
pru
žate
lji u
slug
a, u
z os
talo
, ukl
juču
ju a
ktua
re,
raču
novo
đe, p
rocj
enite
lje, s
tručn
jake
za za
štitu
oko
liša,
is
traži
telje
prij
evar
a, o
dvje
tnik
e, i
nžen
jere
, ge
olog
e,
stru
čnja
ke z
a si
gurn
ost,
stat
istič
are,
stru
čnja
ke z
a in
form
acijs
ku t
ehno
logi
ju,
vanj
ske
revi
zore
te
drug
e re
vizi
jske
tvrtk
e.
301
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
acco
untin
gra
čuno
vods
tvo
The
inte
rnal
aud
it ac
tivity
sho
uld
have
em
ploy
ees
or u
se
outs
ide
serv
ice
prov
ider
s w
ho a
re q
ualif
ied
in d
isci
plin
es
such
as
ac
coun
ting,
au
ditin
g,
econ
omic
s,
finan
ce,
stat
istic
s, i
nfor
mat
ion
tech
nolo
gy,
engi
neer
ing,
tax
atio
n,
law
, env
ironm
enta
l affa
irs, a
nd s
uch
othe
r are
as a
s ne
eded
to
mee
t the
inte
rnal
aud
it ac
tivity
s re
spon
sibi
litie
s.
Dje
latn
ost i
nter
ne re
vizi
je tr
eba
zapo
šlja
vati
djel
atni
ke
ili
vanj
ske
pruž
atel
je
uslu
ga
koji
su
stru
čnja
ci
u di
scip
linam
a po
put r
ačun
ovod
stva
, rev
izije
, eko
nom
ije,
finan
cija
, sta
tistik
e, in
form
acijs
ke te
hnol
ogije
, por
ezni
h us
luga
, od
vjet
ništ
va,
zašt
ite
okol
išta
, te
dr
ugih
po
druč
ja k
oja
su p
otre
bna
za o
stva
rivan
je z
aduž
enja
in
tern
e re
vizi
je.
acco
untin
g fir
mra
čuno
vods
tven
a tv
rtka
Hos
pita
ls,
secu
rity
brok
ers,
and
pub
lic a
ccou
ntin
g fir
ms
are
amon
g th
ose
that
hav
e es
tabl
ishe
d su
ch p
roce
dure
s.
Nek
e od
org
aniz
acija
koj
e su
usv
ojile
takv
e pr
oced
ure
su b
olni
ce,
zašt
itars
ke b
roke
rske
age
ncije
i j
avne
ra
čuno
vods
tven
e tv
rtke.
acco
untin
g re
cord
sra
čuno
vods
tven
i pod
atci
If in
tern
al a
udito
rs a
re r
epor
ting
on f
inan
cial
info
rmat
ion,
th
e en
gage
men
t w
orki
ng
pape
rs
shou
ld
docu
men
t w
heth
er t
he a
ccou
ntin
g re
cord
s ag
ree
or r
econ
cile
with
su
ch fi
nanc
ial i
nfor
mat
ion.
Ako
inte
rni r
eviz
ori s
asta
vlja
ju iz
vješ
ća o
fina
ncijs
kim
po
daci
ma,
u r
adni
m s
pisi
ma
anga
žman
a m
ora
biti
zabi
lježe
no s
lažu
li
se r
ačun
ovod
stve
ni p
odat
ci s
ta
kvim
fina
ncijs
kim
pod
atci
ma.
acco
untin
g st
anda
rds
raču
novo
dstv
eni s
tand
ardi
Per
form
ing
an a
naly
sis
of th
e co
ntro
ls fo
r crit
ical
acc
ount
ing
polic
ies
and
com
parin
g th
em w
ith p
refe
rred
pra
ctic
es (e
.g.,
trans
actio
ns in
whi
ch q
uest
ions
are
rais
ed a
bout
reve
nue
reco
gniti
on o
r of
f-bal
ance
she
et a
ccou
ntin
g tre
atm
ent
shou
ld
be
revi
ewed
fo
r co
mpl
ianc
e w
ith
appr
opria
te
gene
rally
acc
epte
d ac
coun
ting
stan
dard
s).
Pro
vođe
nje
anal
ize
kont
rola
u
smis
lu
prim
jene
kl
jučn
ih r
ačun
ovod
stve
nih
polit
ika
te u
spor
eđiv
anje
s
usvo
jeno
m
prak
som
(n
pr.
potre
bno
je
prov
jerit
i tra
nsak
cije
u k
ojim
a se
pos
tavl
jaju
pita
nja
o pr
izna
nju
prih
oda
ili
tretm
an
vanb
ilanč
nog
raču
novo
dstv
a,
radi
suk
ladn
osti
s od
gova
raju
ćim
opć
eprih
vaće
nim
ra
čuno
vods
tven
im s
tand
ardi
ma)
.
actio
n pl
an p
lan
aktiv
nost
i
Adm
inis
ter/m
aint
ain
the
com
preh
ensi
ve
follo
w-u
p da
taba
se fo
r rec
omm
enda
tions
and
act
ion
plan
s re
sulti
ng
from
inte
rnal
aud
it en
gage
men
ts a
nd th
e w
ork
of e
xter
nal
audi
tors
and
oth
er i
nter
nal
eval
uatio
n an
d in
vest
igat
ion
func
tions
.
Odr
žava
ti is
crpn
u ba
zu
poda
taka
za
pr
epor
uke
i pl
anov
e ak
tivno
sti k
oji s
u re
zulta
t ang
ažm
ana
inte
rne
revi
zije
i r
ada
vanj
skih
rev
izor
a, t
e dr
ugih
int
erni
h oc
jenj
ivač
kih
i ist
ražn
ih fu
nkci
ja.
add
valu
edo
dati
vrije
dnos
t; do
prin
ijeti
vrije
dnos
ti ne
čega
adeq
uate
con
trol
odgo
vara
juća
kon
trola
302
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
adm
inis
trativ
e re
porti
ng li
nead
min
istra
tivna
lini
ja o
dgov
orno
sti
Oth
er r
elat
ions
hips
can
be
effe
ctiv
e if
ther
e ar
e cl
ear
dist
inct
ions
bet
wee
n th
e fu
nctio
nal
and
adm
inis
trativ
e re
porti
ng li
nes
and
appr
opria
te a
ctiv
ities
are
in e
ach
line
to e
nsur
e th
at t
he in
depe
nden
ce a
nd s
cope
of
activ
ities
ar
e m
aint
aine
d.
I dr
ugač
iji o
dnos
i m
ogu
dobr
o fu
nkci
onira
ti, u
kolik
o po
stoj
e ja
sne
razl
ike
izm
eđu
funk
cion
alni
h i
adm
inis
trativ
nih
linija
odg
ovor
nost
i i
ako
za s
vaku
lin
iju
post
oje
mje
re
koje
os
igur
avaj
u od
ržav
anje
ne
zavi
snos
ti i d
jelo
krug
a ak
tivno
sti.
advi
sor
savj
etni
k
Inte
rnal
aud
itors
may
be
invo
lved
as
advi
sors
in
the
follo
win
g pr
oces
ses,
as
long
as
the
impa
ct o
f th
ese
activ
ities
on
inte
rnal
aud
i ind
epen
denc
e is
reco
gniz
ed a
nd
hand
led
appr
opria
tely
.
Inte
rni
revi
zori
mog
u im
ati
ulog
u sa
vjet
nika
u
slje
deći
m p
roce
sim
a, u
kolik
o se
uči
nak
tih a
ktiv
nost
i na
nez
avis
nost
inte
rne
revi
zije
pre
pozn
aje
i tre
tira
na
odgo
vara
jući
nač
in.
anal
ytic
al a
udit
proc
edur
esan
aliti
čki r
eviz
ijski
pos
tupc
iIn
tern
al a
udito
rs u
se a
naly
tical
aud
iting
pro
cedu
res
whe
n id
entif
ying
and
exa
min
ing
info
rmat
ion.
Inte
rni
revi
zori
koris
te a
nalit
ičke
rev
izijs
ke p
ostu
pke
prili
kom
iden
tifik
acije
i pr
egle
da p
odat
aka.
anal
ytic
al re
view
anal
itičk
i pre
gled
Whe
n de
term
inin
g th
e ex
pect
ed e
rror
in a
pop
ulat
ion,
the
audi
tor s
houl
d co
nsid
er m
atte
rs a
s er
ror l
evel
s id
entif
ied
in
prev
ious
aud
its, c
hang
es in
the
orga
niza
tion
s pr
oced
ures
an
d ev
iden
ce a
vaila
ble
from
an
inte
rnal
con
trol e
valu
atio
n an
d re
sults
from
ana
lytic
al re
view
pro
cedu
res.
Pril
ikom
odr
eđiv
anja
oče
kiva
ne p
ogrje
ške
u od
ređe
noj
popu
laci
ji, re
vizo
r tre
ba u
zeti
u ob
zir r
azin
e po
grje
šaka
iz
pr
etho
dnih
re
vizi
ja,
prom
jene
u
proc
edur
ama
orga
niza
cije
, dok
aze
koji
potk
rjepl
juju
ocj
enu
inte
rnih
ko
ntro
la te
rezu
ltate
pos
tupa
ka a
nalit
ičko
g pr
egle
da.
anal
ytic
al re
view
pro
cedu
res
post
upci
ana
litič
kog
preg
leda
Whe
n de
term
inin
g th
e ex
pect
ed e
rror
in a
pop
ulat
ion,
the
audi
tor s
houl
d co
nsid
er m
atte
rs a
s er
ror l
evel
s id
entif
ied
in
prev
ious
aud
its, c
hang
es in
the
orga
niza
tion
s p
roce
dure
s an
d ev
iden
ce a
vaila
ble
from
an
inte
rnal
con
trol e
valu
atio
n an
d re
sults
from
ana
lytic
al re
view
pro
cedu
res.
Pril
ikom
odr
eđiv
anja
oče
kiva
ne p
ogrje
ške
u od
ređe
noj
popu
laci
ji, re
vizo
r tre
ba u
zeti
u ob
zir r
azin
e po
grje
šaka
iz
pr
etho
dnih
re
vizi
ja,
prom
jene
u
proc
edur
ama
orga
niza
cije
, dok
aze
koji
potk
rjepl
juju
ocj
enu
inte
rnih
ko
ntro
la te
rezu
ltate
pos
tupa
ka a
nalit
ičko
g pr
egle
da.
annu
al a
udit
plan
godi
šnji
plan
revi
zije
The
audi
t co
mm
ittee
sho
uld
have
the
fin
al a
utho
rity
to
revi
ew a
nd a
ppro
ve t
he a
nnua
l aud
it pl
an a
nd a
ll m
ajor
ch
ange
s to
the
plan
.
Rev
izijs
ko
vije
će
treba
im
ati
zadn
ju
riječ
pr
iliko
m
preg
leda
i o
dobr
enja
god
išnj
eg p
lana
rev
izije
i s
vih
važn
ijih
izm
jena
toga
pla
na.
annu
al fi
nanc
ial s
tate
men
tgo
dišn
je fi
nanc
ijsko
izvj
ešće
The
exte
rnal
aud
itors
ord
inar
y ex
amin
atio
n is
des
igne
d to
ob
tain
suf
ficie
nt e
vide
ntia
l mat
ter t
o su
ppor
t an
opin
ion
on
the
over
all f
airn
ess
of th
e an
nual
fina
ncia
l sta
tem
ents
.
Uob
ičaj
eni
post
upci
pro
vjer
e va
njsk
e re
vizi
je s
luže
za
prik
uplja
nje
doka
znog
mat
erija
la k
oji ć
e po
tkrij
epiti
m
išlje
nja
o op
ćem
st
anju
to
čnos
ti go
dišn
jeg
finan
cijs
kog
izvj
ešća
.
303
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
annu
al re
port
godi
šnje
izvj
ešće
The
targ
et a
udie
nces
for
the
ann
ual
repo
rt ar
e se
nior
ex
ecut
ives
and
boa
rd m
embe
rs.
God
išnj
a iz
vješ
ća n
amije
njen
a su
viso
kom
ruko
vods
tvu
i čla
novi
ma
upra
ve.
appl
icat
ion
leve
l ris
ksap
likac
ijski
rizi
ci
App
licat
ion
cont
rols
to a
ddre
ss th
e ap
plic
atio
n le
vel r
isks
m
ay b
e in
the
form
of c
ompu
teriz
ed c
ontro
ls b
uilt
into
the
syst
em, m
anua
lly p
erfo
rmed
con
trols
, or a
com
bina
tion
of
both
.
Apl
ikac
ijske
kon
trole
koj
e se
odn
ose
na a
plik
acijs
ke
rizik
e m
ogu
biti
u ob
liku
raču
naln
ih k
ontro
la u
građ
enih
u
sust
av, r
učno
oba
vlje
nih
kont
rola
ili k
ombi
naci
je o
bje
vrst
e ko
ntro
la.
appl
icat
ion
syst
em re
view
preg
led;
revi
zija
apl
ikac
ijsko
g su
stav
a
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es n
eces
sary
for a
com
preh
ensi
ve a
ssur
ance
or
cons
ultin
g en
gage
men
t re
late
d to
an
appl
icat
ion
syst
em
revi
ew, b
ut s
impl
y a
reco
mm
ende
d co
re s
et o
f hig
h le
vel
audi
tor
resp
onsi
bilit
ies
to
com
plem
ent
deta
iled
audi
t pl
anni
ng e
fforts
.
Ova
j N
aput
ak n
e sa
drži
sve
pos
tupk
e po
trebn
e za
sv
eobu
hvat
ne a
ngaž
man
e s
izra
žava
njem
uvj
eren
ja
ili a
ngaž
man
e sa
vjet
ništ
va z
a re
vizi
ju a
plik
acijs
kog
sust
ava,
već
sam
o op
ćeni
to n
avod
i zad
užen
ja re
vizo
ra
u sm
islu
dop
une
deta
ljnog
pla
na re
vizi
je.
asse
ssm
ent
vred
nova
nje;
ocj
enjiv
anje
; ocj
ena
An
opin
ion
may
incl
ude
an o
vera
ll as
sess
men
t of c
ontro
ls
or a
rea
unde
r rev
iew
or m
ay b
e lim
ited
to s
peci
fic c
ontro
ls
or a
spec
ts o
f th
e en
gage
men
t. Th
e ta
rget
aud
ienc
es
for
the
annu
al r
epor
t ar
e se
nior
exe
cutiv
es a
nd b
oard
m
embe
rs.
Miš
ljenj
e re
vizo
ra m
ože
uklju
čiva
ti opć
u oc
jenu
kont
rola
ili
pod
ručj
a po
d re
vizi
jom
, ili
mož
e bi
ti og
rani
čeno
na
poje
dine
kon
trole
ili
aspe
kte
anga
žman
a. G
odiš
nja
izvj
ešća
na
mije
njen
a su
vi
soko
m
ruko
vods
tvu
i čl
anov
ima
upra
ve.
asse
ssm
ent o
f con
trol
ocje
na k
ontro
laTh
e A
uditi
ng G
uide
line
on P
lann
ing
the
IS A
udit
stat
es
that
the
audi
tor s
houl
d pe
rform
a p
relim
inar
y as
sess
men
t of
con
trol o
ver t
he fu
nctio
n be
ing
audi
ted.
Sm
jern
ice
za p
lani
ranj
e re
vizi
je in
form
acijs
kih
sust
ava
navo
de
da
revi
zor
treba
pr
oves
ti uv
odnu
oc
jenu
ko
ntro
la fu
nkci
je p
od re
vizi
jom
.
asse
ssm
ent o
f ris
koc
jena
rizi
kaTh
e in
tern
al a
udit
activ
ity s
aud
it pl
an s
houl
d be
des
igne
d ba
sed
on a
n as
sess
men
t of r
isk
and
expo
sure
s th
at m
ay
affe
ct th
e or
gani
zatio
n.
Pla
n re
vizi
je
djel
atno
sti
inte
rne
revi
zije
tre
ba
se
zasn
ivat
i na
ocj
eni
rizik
a i
izlo
ženo
sti
rizic
ima
koji
mog
u ut
jeca
ti na
org
aniz
aciju
.
asse
tsim
ovin
aV
alua
tions
of
asse
ts s
uch
as l
and
and
build
ings
, w
orks
of
art,
pre
ciou
s ge
ms,
inve
stm
ents
, and
com
plex
fina
ncia
l in
stru
men
ts.
Pro
cjen
a im
ovin
e po
put
zem
ljišt
a i
nekr
etni
na,
umje
tnič
kih
djel
a,
drag
og
kam
enja
, in
vest
icija
i
slož
enih
fina
ncijs
kih
inst
rum
enat
a.
304
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
assi
gnm
ent
zada
tak
Whe
n th
e C
AE
int
ends
to
use
and
rely
on
the
wor
k of
an
out
side
ser
vice
pro
vide
r, th
e C
AE
sho
uld
asse
ss t
he
com
pete
ncy,
inde
pend
ence
, and
obj
ectiv
ity o
f the
out
side
se
rvic
e pr
ovid
er a
s it
rela
tes
to th
e pa
rticu
lar
assi
gnm
ent
to b
e pe
rform
ed.
Pril
ikom
oda
bira
van
jski
h pr
užat
elja
usl
uge,
gla
vni
revi
zor
mor
a oc
ijeni
ti nj
ihov
u st
ručn
ost,
neza
visn
ost i
ob
jekt
ivno
st u
sve
zi s
poj
edin
im z
adat
kom
.
assu
ranc
e u
slug
e pr
užan
ja u
vjer
enja
Ass
uran
ce a
nd c
onsu
lting
are
not
mut
ually
exc
lusi
ve
and
do n
ot p
recl
ude
othe
r au
ditin
g se
rvic
es s
uch
as
inve
stig
atio
ns a
nd n
on-a
uditi
ng ro
les.
Usl
uge
pruž
anja
uv
jere
nja
i sa
vjet
ništ
va
nisu
m
eđus
obno
isk
ljuči
ve t
e ne
pre
dsta
vlja
ju p
repr
eku
obav
ljanj
u dr
ugih
us
luga
po
put
istra
žite
ljstv
a i
nere
vizi
jski
h ul
oga.
assu
ranc
e en
gage
men
tan
gažm
an p
ruža
nja
uvje
renj
a;
anga
žman
s iz
raža
vanj
em
uvje
renj
a
Con
sulti
ng
serv
ices
m
ay
enha
nce
the
audi
tor
s
unde
rsta
ndin
g of
bus
ines
s pr
oces
ses
or is
sues
rela
ted
to
an a
ssur
ance
eng
agem
ent a
nd d
o no
t nec
essa
rily
impa
ir th
e au
dito
r s
or th
e in
tern
al a
udit
activ
ity s
obj
ectiv
ity.
Sav
jetn
ička
ulo
ga r
eviz
ora
mož
e po
boljš
ati
njeg
ovo
razu
mije
vanj
e po
slov
nih
proc
esa
ili
prob
lem
a po
veza
nih
s an
gažm
anim
a pr
užan
ja u
vjer
enja
, te
ne
pred
stav
ljaju
nu
žno
prep
reku
ob
jekt
ivno
sti
inte
rne
revi
zije
.
assu
ranc
e se
rvic
esus
luge
pru
žanj
a uv
jere
nja
atte
st (f
unct
ion)
potv
rditi
; pos
vjed
očiti
; jam
čiti;
pr
užiti
uvj
eren
je
The
elem
ents
ar
e co
re
beca
use
they
su
ppor
t th
e fu
ndam
enta
l va
lue
prop
ositi
on
of
audi
t, na
mel
y,
the
prin
cipl
e th
at a
n ob
ject
ive
third
par
ty i
s at
test
ing
to (
or
prov
idin
g as
sura
nce
as to
) th
e cr
edib
ility
of m
anag
emen
t s
asse
rtion
s.
Ovo
su
kl
jučn
i el
emen
ti je
r po
drža
vaju
te
mel
jnu
pret
post
avku
zn
ačaj
nost
i ul
oge
revi
zije
, tj.
na
čelo
sv
jedo
čenj
a (il
i uv
jere
nja)
tre
će
osob
e o
vjer
odos
tojn
osti
tvrd
nji u
prav
e.
atte
stat
ion
potv
rda;
svj
edoč
enje
; jam
stvo
; uv
jere
nje
The
elem
ents
ar
e co
re
beca
use
they
su
ppor
t th
e fu
ndam
enta
l va
lue
prop
ositi
on
of
audi
t, na
mel
y,
the
prin
cipl
e th
at a
n ob
ject
ive
third
par
ty i
s at
test
ing
to (
or
prov
idin
g as
sura
nce
as to
) th
e cr
edib
ility
of m
anag
emen
t s
asse
rtion
s.
Ovo
su
kl
jučn
i el
emen
ti je
r po
drža
vaju
te
mel
jnu
pret
post
avku
zn
ačaj
nost
i ul
oge
revi
zije
, tj.
na
čelo
sv
jedo
čenj
a (il
i uv
jere
nja)
tre
će
osob
e o
vjer
odos
tojn
osti
tvrd
nji u
prav
e.
Attr
ibut
e an
d P
erfo
rman
ce
Sta
ndar
dsO
pisn
i sta
ndar
di i
Sta
ndar
di
učin
kovi
tost
i
The
inte
rnal
aud
itor i
s gu
ided
by
The
IIA s
Cod
e of
Eth
ics
and
the
Attr
ibut
e an
d P
erfo
rman
ce S
tand
ards
of
the
Inte
rnat
iona
l S
tand
ards
for
the
Pro
fess
iona
l P
ract
ice
of
Inte
rnal
Aud
iting
(Sta
ndar
ds).
Inte
rni
revi
zori
osla
njaj
u se
na
sm
jern
ice
Etič
kog
kode
ksa
IIA,
te
Opi
snih
st
anda
rda
i S
tand
arda
uč
inko
vito
sti k
oji s
u di
o M
eđun
arod
nih
stan
dard
a za
pr
ofes
iona
lnu
prak
su in
tern
e re
vizi
je (S
tand
ardi
).
305
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t act
iviti
esdj
elat
nost
revi
zije
; akt
ivno
sti
revi
zije
Rec
eive
com
mun
icat
ions
from
the
CA
E o
n th
e re
sults
of
the
inte
rnal
aud
it ac
tiviti
es o
r ot
her
mat
ters
that
the
CA
E
dete
rmin
es a
re n
eces
sary
, inc
ludi
ng p
rivat
e m
eetin
gs w
ith
the
CA
E w
ithou
t man
agem
ent p
rese
nt.
Prv
enst
vo p
riopć
enja
gla
vnog
rev
izor
a o
rezu
ltatim
a dj
elat
nost
i inte
rne
revi
zije
ili d
rugi
m te
mam
a ko
je g
lavn
i re
vizo
r sm
atra
po
trebn
ima,
uk
ljuču
jući
za
tvor
ene
sast
anke
s
glav
nim
re
vizo
rom
be
z na
zočn
osti
ruko
vods
tva.
audi
t app
roac
hre
vizi
jski
pris
tup
Info
rmat
ion
shou
ld b
e ob
tain
ed,
such
as
hist
ory
of t
he
firm
, siz
e of
the
firm
, res
ourc
es a
vaila
ble,
firm
phi
loso
phy
and
audi
t ap
proa
ch,
spec
ial e
xper
tise,
loca
l or
serv
icin
g of
fice
that
wou
ld h
andl
e th
e en
gage
men
t, re
late
d in
dust
ry
expe
rienc
e, a
nd b
iogr
aphi
es o
f ke
y te
am m
embe
rs t
hat
wou
ld b
e as
sign
ed to
the
enga
gem
ent.
Pot
rebn
o je
prib
aviti
pod
atke
, ka
o št
o su
pov
ijest
po
duze
ća,
velič
ina
podu
zeća
, do
stup
ni
resu
rsi,
filoz
ofija
pod
uzeć
a, p
ristu
p re
vizi
ji, p
oseb
no s
tručn
o zn
anje
, lo
kaln
i ili
se
rvis
ni
ured
ko
ji bi
pr
euze
o an
gažm
an, r
elev
antn
o is
kust
vo u
odr
eđen
oj d
jela
tnos
ti te
bio
graf
ije k
ljučn
ih č
lano
va a
ngaž
irano
g tim
a.
audi
t ass
ignm
ent
revi
zijs
ki z
adat
akA
ll in
tern
al a
udit
assi
gnm
ents
, w
heth
er p
erfo
rmed
by
or
for
the
inte
rnal
aud
it ac
tivity
, re
mai
n th
e re
spon
sibi
lity
of
the
CA
E.
Svi
revi
zijs
ki z
adat
ci in
tern
e re
vizi
je, b
ilo d
a se
pro
vode
od
stra
ne il
i za
koris
t dje
latn
osti
inte
rne
revi
zije
, ost
aju
u dj
elok
rugu
zad
užen
ja g
lavn
og in
tern
og re
vizo
ra.
audi
t cha
rter
revi
zijs
ka p
ovel
jaTh
e na
ture
of c
onsu
lting
ser
vice
s sh
ould
be
defin
ed in
the
audi
t cha
rter.
Prir
oda
uslu
ga s
avje
tniš
tva
treba
biti
def
inira
na u
re
vizi
jsko
j pov
elji.
audi
t com
mitt
eere
vizi
jsko
vije
će
The
boar
d (o
r au
dit
com
mitt
ee)
shou
ld e
mpo
wer
the
in
tern
al a
udit
activ
ity to
per
form
add
ition
al s
ervi
ces
whe
re
they
do
not r
epre
sent
a c
onfli
ct o
f int
eres
t or d
etra
ct fr
om
its o
blig
atio
ns to
the
com
mitt
ee.
Upr
avni
odb
or (
ili r
eviz
ijsko
vije
će)
treba
ju o
vlas
titi
djel
atno
st
inte
rne
revi
zije
za
ob
avlja
nje
doda
tnih
us
luga
, uko
liko
one
ne p
reds
tavl
jaju
suk
ob in
tere
sa il
i za
nem
ariv
anje
zad
užen
ja re
vizi
jsko
g vi
jeća
.
audi
t com
mitt
ee c
harte
rpo
velja
revi
zijs
kog
vije
ćaTh
e au
dit a
ctiv
ity c
harte
r and
the
audi
t com
mitt
ee c
harte
r m
ay a
lso
cont
ain
guid
ance
rela
ted
to re
porti
ng in
form
atio
n ou
tsid
e th
e or
gani
zatio
n.
Pov
elja
dje
latn
osti
revi
zije
i po
velja
rev
izijs
kog
vije
ća
mog
u ta
kođe
r sa
drža
vati
smje
rnic
e o
izvj
ešći
vanj
u iz
van
orga
niza
cije
.
Aud
it C
omm
ittee
s an
d C
ombi
ned
Cod
e G
uida
nce
Rev
izijs
ka v
ijeća
i sm
jern
ice
za
prov
edbu
Kom
bini
rano
g ko
deks
a
This
ris
k is
rai
sed
in t
he J
anua
ry 2
003
Sm
ith R
epor
t on
Aud
it C
omm
ittee
s an
d C
ombi
ned
Cod
e G
uida
nce,
ap
poin
ted
by t
he F
inan
cial
Rep
ortin
g C
ounc
il, a
nd i
s ad
dres
sed
in g
uida
nce
publ
ishe
d by
IC
AE
W (
Inst
itute
of
Cha
rtere
d A
ccou
ntan
ts i
n E
ngla
nd a
nd W
ales
), am
ong
othe
rs.
Ova
j riz
ik j
e, i
zmeđ
u os
talo
g, p
repo
znat
u s
iječn
ju
2003
., u
Sm
ithov
om iz
vješ
ću p
od n
aziv
om “R
eviz
ijska
vi
jeća
i sm
jern
ice
za p
rove
dbu
Kom
bini
rano
g ko
deks
a”
Vije
ća z
a fin
anci
jsko
izvj
ešći
vanj
e, t
e u
smje
rnic
ama
Inst
ituta
Ovl
ašte
nih
raču
novo
đa E
ngle
ske
i Wal
esa)
.
306
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t con
clus
ions
zakl
jučc
i rev
izije
Doc
umen
tatio
n sh
ould
incl
ude
the
audi
t con
clus
ions
.D
okum
enta
cija
mor
a sa
drža
vati
zakl
jučk
e re
vizi
je.
audi
t cov
erag
ere
vizi
jska
pok
riven
ost
The
inte
rnal
aud
it act
ivity
s ri
sk-b
ased
pla
n of
eng
agem
ents
m
ay in
corp
orat
e an
d re
ly o
n co
nsul
ting
enga
gem
ents
, to
the
exte
nt d
eem
ed a
ppro
pria
te, t
o pr
ovid
e ne
cess
ary
audi
t co
vera
ge to
the
orga
niza
tion.
Pla
n an
gažm
ana
djel
atno
sti
inte
rne
revi
zije
koj
i se
te
mel
ji na
riz
iku,
mož
e sa
drža
vati
i za
sniv
ati
se n
a an
gažm
anim
a sa
vjet
ništ
va, d
o on
og s
tupn
ja d
o ko
jeg
se s
mat
ra d
a je
to
potre
bno,
kak
o bi
se
osig
ural
a po
trebn
a re
vizi
jska
pok
riven
ost z
a or
gani
zaci
ju.
to a
udit
e-co
mm
erce
act
iviti
espr
oves
ti re
vizi
ju a
ktiv
nost
i e-
trgov
ine
The
deta
ils o
f the
aud
it pr
ogra
m u
sed
to a
udit
e-co
mm
erce
ac
tiviti
es in
spe
cific
org
aniz
atio
ns w
ill v
ary
depe
ndin
g on
in
dust
ry, c
ount
ry, a
nd le
gal a
nd b
usin
ess
mod
els.
Poj
edin
osti
prog
ram
a re
vizi
je
aktiv
nost
i e-
trgov
ine
u po
jedi
nim
org
aniz
acija
ma
razl
ikov
at ć
e se
ovi
sno
o dj
elat
nost
i, ze
mlji
te
zako
nski
m
i m
odel
ima
posl
ovan
ja.
audi
t eng
agem
ent
revi
zijs
ki a
ngaž
man
Thes
e fa
cts
shou
ld b
e cl
early
sta
ted
whe
n co
mm
unic
atin
g th
e re
sults
of
an a
udit
enga
gem
ent
rela
ting
to a
n ar
ea
whe
re a
n au
dito
r had
ope
ratin
g re
spon
sibi
litie
s.
Ove
čin
jeni
ce t
reba
ju b
iti j
asno
nav
eden
e pr
iliko
m
obja
vljiv
anja
re
zulta
ta
odre
đeno
g re
vizi
jsko
g an
gažm
ana
koji
se o
dnos
i na
podr
učje
na
koje
m je
od
ređe
ni re
vizo
r im
ao o
pera
tivna
zad
užen
ja.
audi
t eng
agem
ent r
esul
tsre
zulta
ti re
vizi
jsko
g an
gažm
ana
This
impa
irmen
t sho
uld b
e con
side
red w
hen c
omm
unic
atin
g au
dit e
ngag
emen
t res
ults
.
Pril
ikom
pr
iopć
avan
ja
rezu
ltata
re
vizi
jsko
g an
gažm
ana,
pot
rebn
o je
uze
ti u
obzi
r m
oguć
nost
sm
anje
ne o
bjek
tivno
sti r
eviz
ora.
audi
t evi
denc
ere
vizi
jski
dok
az
CA
ATs
may
pro
duce
a l
arge
pro
porti
on o
f th
e au
dit
evid
ence
dev
elop
ed o
n au
dits
and
, as
a re
sult,
the
Aud
itor
shou
ld c
aref
ully
pla
n fo
r and
exh
ibit
due
prof
essi
onal
car
e in
the
use
of C
AA
Ts.
Vel
iki
dio
doka
za
revi
zijs
kog
post
upka
st
vara
se
po
moć
u ra
čuna
lnih
re
vizi
jski
h te
hnik
a (C
AA
T),
te
stog
a re
vizo
r mor
a pr
istu
pati
plan
iranj
u i k
oriš
tenj
u tih
te
hnik
a uz
naj
veću
duž
nu p
rofe
sion
alnu
poz
orno
st.
audi
t fun
ctio
nsre
vizi
jske
funk
cije
The
maj
ority
of
envi
ronm
enta
l au
dit
func
tions
rep
ort
to
thei
r or
gani
zatio
n s
envi
ronm
enta
l com
pone
nt o
r ge
nera
l co
unse
l, no
t to
the
CA
E.
Već
ina
funk
cija
za
revi
ziju
sus
tava
zaš
tite
okol
iša
odgo
vorn
a je
odj
elu
orga
niza
cije
za
zašt
itu o
koliš
a ili
ge
nera
lnom
vije
ću, a
ne
glav
nom
inte
rnom
revi
zoru
.
audi
t man
ual
priru
čnik
za
revi
ziju
Form
al a
dmin
istra
tive
and
tech
nica
l au
dit
man
uals
may
no
t be
need
ed b
y al
l int
erna
l aud
iting
ent
ities
.S
lužb
eni a
dmin
istra
tivni
i te
hnič
ki p
riruč
nici
za
revi
ziju
m
ožda
nis
u po
trebn
i svi
m ti
jelim
a in
tern
e re
vizi
je.
audi
t obj
ectiv
esci
ljevi
revi
zije
; rev
izijs
ki c
iljev
iA
udit
obje
ctiv
es f
or a
n e-
com
mer
ce e
ngag
emen
t m
ay
incl
ude:
evi
denc
e of
e-c
omm
erce
tran
sact
ions
.R
eviz
ijski
cilj
evi z
a an
gažm
an re
vizi
je e
-trgo
vine
mog
u uk
ljuči
vati
doka
z o
trans
akci
jam
a e-
trgov
ine.
307
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t of o
utso
urce
d IS
act
iviti
esre
vizi
ja e
kste
rnal
izira
nih
aktiv
nost
i in
form
acijs
ke te
hnol
ogije
Nat
ure
of th
is P
ract
ice
Adv
isor
y: In
tern
al a
udito
rs s
houl
d co
nsid
er t
he f
ollo
win
g su
gges
tions
whe
n pe
rform
ing
an
audi
t of o
utso
urce
d IS
act
iviti
es.
Prir
oda
ovog
N
aput
ka
za
prak
su
inte
rne
revi
zije
: in
tern
i rev
izor
i tre
baju
uze
ti u
obzi
r slje
deće
prij
edlo
ge
prili
kom
oba
vlja
nja
posl
ova
revi
zije
eks
tern
aliz
irani
h ak
tivno
sti i
nfor
mac
ijske
tehn
olog
ije.
audi
t of t
he fi
nanc
ial s
tate
men
tsre
vizi
ja fi
nanc
ijski
h iz
vješ
ća
This
Pra
ctic
e A
dvis
ory
is p
artic
ular
ly w
ell s
uite
d fo
r us
e in
acq
uisi
tion
of e
xter
nal a
udit
serv
ices
for
aud
its o
f th
e fin
anci
al s
tate
men
ts, b
ut it
may
als
o be
use
ful i
n ob
tain
ing
exte
rnal
aud
it se
rvic
es fo
r oth
er ty
pes
of e
ngag
emen
ts.
Ova
j N
aput
ak z
a pr
aksu
int
erne
rev
izije
nar
očito
je
koris
tan
pri
naru
čiva
nju
uslu
ga v
anjs
ke r
eviz
ije z
a re
vizi
ju f
inan
cijs
kih
izvj
ešća
, al
i tak
ođer
mož
e bi
ti od
ko
risti
u pr
ibav
ljanj
u re
vizi
jski
h us
luga
za
drug
e tip
ove
anga
žman
a.
audi
t org
aniz
atio
nsre
vizi
jske
org
aniz
acije
The
purp
ose
of
this
P
ract
ice
Adv
isor
y is
to
pr
ovid
e gu
idan
ce
to
inte
rnal
au
dit
orga
niza
tions
on
ris
k an
d in
depe
nden
ce i
ssue
s re
late
d to
env
ironm
enta
l au
ditin
g ac
tiviti
es. I
nter
nal a
udito
rs s
houl
d be
ale
rt to
the
pote
ntia
l ris
ks t
hat
may
res
ult
from
the
org
aniz
atio
nal
plac
emen
t an
d re
porti
ng re
latio
nshi
ps o
f env
ironm
enta
l aud
itors
.
Nam
jera
ovo
g N
aput
ka z
a pr
aksu
inte
rne
revi
zije
je
pruž
anje
sm
jern
ica
orga
niza
cija
ma
inte
rne
revi
zije
za
pita
nja
rizik
a i n
ezav
isno
sti p
ovez
anih
s r
eviz
ijom
su
stav
a za
štite
ok
oliš
ta.
Inte
rni
revi
zori
mor
aju
spre
mno
uo
čava
ti m
oguć
e riz
ike
koji
potje
ču
od
orga
niza
cijs
kog
polo
žaja
i lin
ija o
dgov
orno
sti r
eviz
ora
zašt
ite o
koliš
a.
audi
t pla
npl
an re
vizi
je
The
inte
rnal
aud
it fu
nctio
n sh
ould
be
free
to a
udit
and
repo
rt on
any
act
ivity
that
als
o re
ports
to it
s ad
min
istra
tive
head
if
it de
ems
that
cov
erag
e ap
prop
riate
for
its
aud
it pl
an.
Funk
cija
in
tern
e re
vizi
je
treba
pr
ovod
iti
revi
ziju
i
izvj
ešći
vati
o sv
akoj
akt
ivno
sti
koja
se
nala
zi u
ist
oj
adm
inis
trativ
noj l
iniji
odg
ovor
nost
i, uk
olik
o sm
atra
da
ona
prip
ada
u nj
ihov
pla
n re
vizi
je.
audi
t pro
cedu
re re
vizi
jski
pos
tupa
kA
lso,
aud
it pr
oced
ures
alo
ne, e
ven
whe
n ca
rrie
d ou
t with
du
e pr
ofes
sion
al c
are,
do
not g
uara
ntee
that
frau
d w
ill b
e de
tect
ed.
Isto
tako
, sam
i pos
tupc
i rev
izije
, čak
i ka
da s
e pr
ovod
e uz
naj
veću
duž
nu p
rofe
sion
alnu
poz
orno
st, n
e ja
mče
ot
kriv
anje
prij
evar
e.
audi
t pro
cess
revi
zijs
ki p
roce
s
The
CA
E s
houl
d id
entif
y ke
y pe
rform
ance
mea
sure
men
t ca
tego
ries
such
as
st
akeh
olde
r sa
tisfa
ctio
n,
audi
t pr
oces
ses,
and
inn
ovat
ion
and
capa
bilit
ies
of i
nter
nal
audi
t.
Gla
vni
revi
zor
treba
pr
epoz
nati
klju
čne
kate
gorij
e m
jere
nja
učin
kovi
tost
i, ka
o št
o su
za
dovo
ljstv
o no
site
lja in
tere
sa,
revi
zijs
ki p
roce
si,
te in
ovat
ivno
st i
spos
obno
st in
tern
e re
vizi
je.
audi
t pro
fess
iona
lre
vizo
rB
e pe
rform
ed b
y C
ertif
ied
Inte
rnal
Aud
itors
(C
IAs)
or
othe
r co
mpe
tent
aud
it pr
ofes
sion
als,
cur
rent
ly a
ssig
ned
else
whe
re in
the
orga
niza
tion.
Pov
rem
eno
inte
rno
vred
nova
nje
prov
ode
ovla
šten
i in
tern
i rev
izor
i ili d
rugi
kom
pete
ntni
revi
zijs
ki s
tručn
jaci
, ko
ji u
tijek
u po
stup
ka im
aju
drug
a za
duže
nja
unut
ar
orga
niza
cije
.
308
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t pro
gram
revi
zijs
ki p
rogr
am
Aud
itors
sh
ould
de
sign
ad
ditio
nal
step
s in
ro
utin
e S
tand
ardi
zed
enga
gem
ent
wor
king
pa
pers
su
ch
as
ques
tionn
aire
s an
d au
dit
prog
ram
s m
ay
impr
ove
the
effic
ienc
y of
an
enga
gem
ent a
nd fa
cilit
ate
the
dele
gatio
n of
eng
agem
ent w
ork.
Sta
ndar
dizi
rani
rad
ni s
pisi
ang
ažm
ana,
kao
što
su
upitn
ici i
pro
gram
i rev
izije
, mog
u po
veća
ti uč
inko
vito
st
anga
žman
a i o
lakš
ati d
eleg
aciju
pos
lova
ang
ažm
ana.
audi
t rec
omm
enda
tions
revi
zijs
ke p
repo
ruke
Aud
it re
com
men
datio
ns s
houl
d be
dire
cted
at
the
risk
man
agem
ent o
r pol
icie
s, a
s w
ell a
s th
e de
taile
d pa
ram
eter
s th
emse
lves
.
Pre
poru
ke r
eviz
ije tr
ebaj
u se
usm
jerit
i na
upra
vlja
nje
rizik
om il
i pol
itike
, kao
i na
det
aljn
e pa
ram
etre
.
audi
t rep
ort
revi
zijs
ko iz
vješ
ćeD
iscl
osur
e in
aud
it re
ports
whe
re o
bjec
tivity
was
impa
ired
by p
artic
ipat
ion
in a
prio
r non
-aud
it (c
onsu
lting
) pro
ject
.
Pod
aci
prio
pćen
i u
revi
zijs
kim
iz
vješ
ćim
a gd
je
je
obje
ktiv
nost
nar
ušen
a ra
di s
udje
lova
nja
u pr
etho
dnom
ne
revi
zijs
kom
(sav
jetn
ičko
m) p
roje
ktu.
audi
t res
ourc
esre
vizi
jski
resu
rsi
Inte
rnal
aud
itors
sho
uld
keep
exe
cutiv
e m
anag
emen
t and
th
e au
dit c
omm
ittee
info
rmed
abo
ut h
ow a
udit
reso
urce
s ar
e be
ing
depl
oyed
.
Inte
rni r
eviz
ori t
reba
ju iz
vješ
ćiva
ti iz
vršn
o ru
kovo
dstv
o i r
eviz
ijsko
vije
će o
rasp
odje
li re
vizi
jski
h re
surs
a.
audi
t res
ults
revi
zijs
ki re
zulta
tiTh
e po
tent
ial i
mpa
irmen
t to
obje
ctiv
ity o
r ind
epen
denc
e or
th
e ap
pear
ance
of s
uch
impa
irmen
t sho
uld
be c
onsi
dere
d w
hen
repo
rting
aud
it re
sults
.
Pril
ikom
obj
ave
rezu
ltata
rev
izije
pot
rebn
o je
uze
ti u
obzi
r m
oguć
nost
ili
poja
vu p
repr
eke
obje
ktiv
nost
i ili
ne
zavi
snos
ti.
audi
t ris
kre
vizi
jski
rizi
kA
dmin
iste
r th
e ge
nera
l op
erat
ion
of
the
syst
em
for
eval
uatio
n of
aud
it ris
k an
d lo
ng-r
ange
pla
nnin
g.U
prav
ljati
opći
m d
jelo
vanj
em s
usta
va z
a pr
ocje
nu
revi
zijs
kog
rizik
a i d
ugor
očno
g pl
anira
nja.
audi
t rol
e re
vizi
jska
ulo
ga
Whe
n ac
cept
ing
and
perfo
rmin
g co
nsul
ting
wor
k, a
udito
rs
shou
ld d
ocum
ent
thei
r ra
tiona
le f
or p
rovi
ding
con
sulti
ng
serv
ices
and
dem
onst
rate
thei
r jud
gmen
t tha
t the
ser
vice
s do
not
vio
late
the
core
ele
men
ts o
f the
aud
it ro
le.
Pril
ikom
prih
vaća
nja
i oba
vlja
nja
savj
etni
čkih
pos
lova
, re
vizo
ri m
oraj
u do
kum
entir
ati
razl
oge
za p
ruža
nje
savj
etni
čkih
usl
uga
te p
otvr
diti
da t
akve
usl
uge
ne
naru
šava
ju b
itne
elem
ente
njih
ove
revi
zijs
ke u
loge
.
audi
t sam
ple
revi
zijs
ki u
zora
k
Whe
n us
ing
stat
istic
al o
r non
-sta
tistic
al s
ampl
ing
met
hods
, th
e au
dito
r sh
ould
des
ign
and
sele
ct a
n au
dit
sam
ple,
pe
rform
aud
it pr
oced
ures
and
eva
luat
e sa
mpl
e re
sults
to
obt
ain
suffi
cien
t, re
liabl
e, r
elev
ant
and
usef
ul a
udit
evid
ence
.
U
prim
jeni
st
atis
tički
h i
nest
atis
tički
h m
etod
a uz
orko
vanj
a, r
eviz
or m
ora
odab
rati
revi
zijs
ki u
zora
k,
obav
iti
revi
zijs
ke
post
upke
i
ocije
niti
rezu
ltate
uz
orko
vanj
a u
cilju
dob
ivan
ja d
osta
tnog
, pou
zdan
og,
rele
vant
nog
i kor
isno
g re
vizi
jsko
g do
kaza
.
309
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t sam
plin
gre
vizi
jsko
uzo
rkov
anje
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es n
eces
sary
to
perfo
rm a
udit
sam
plin
g, b
ut
is s
impl
y a
reco
mm
ende
d co
re s
et o
f hi
gh le
vel a
udito
r re
spon
sibi
litie
s to
com
plem
ent
deta
iled
audi
t pl
anni
ng
effo
rts.
Ova
j N
aput
ak n
e sa
drži
sve
pos
tupk
e po
trebn
e za
re
vizi
jsko
uzo
rkov
anje
, ve
ć sa
mo
opće
nito
nav
odi
zadu
ženj
a re
vizo
ra u
sm
islu
dop
une
deta
ljnog
pla
na
revi
zije
.
audi
t sam
plin
g te
chni
ques
tehn
ike
ili m
etod
e re
vizi
jsko
g uz
orko
vanj
aIn
tern
al a
udito
rs s
houl
d co
nsid
er th
e fo
llow
ing
sugg
estio
ns
whe
n ut
ilizi
ng A
udit
Sam
plin
g te
chni
ques
for t
estin
g.
Inte
rni r
eviz
ori t
reba
ju u
zeti
u ob
zir s
ljede
će p
rijed
loge
pr
iliko
m k
oriš
tenj
a te
hnik
a re
vizi
jsko
g uz
orko
vanj
a za
is
pitiv
anje
.
audi
t sco
pedj
elok
rug
revi
zije
In p
lann
ing
the
audi
t, th
e au
dito
r sh
ould
iden
tify
whi
ch o
f th
e to
tal p
opul
atio
n of
per
vasi
ve IS
con
trols
hav
e an
effe
ct
on th
e sp
ecifi
c au
dit o
bjec
tives
, and
sho
uld
plan
to in
clud
e th
ese
in th
e au
dit s
cope
.
Pril
ikom
pla
nira
nja
revi
zije
, re
vizo
r tre
ba p
repo
znat
i ko
je o
d uk
upne
pop
ulac
ije s
veob
uhva
tnih
kon
trola
in
form
acijs
ke t
ehno
logi
je i
maj
u ut
jeca
j na
spe
cifič
ne
cilje
ve re
vizi
je, t
e ih
ukl
juči
ti u
djel
okru
g re
vizi
je.
audi
t ser
vice
s re
vizi
jske
usl
uge
Ass
uran
ce a
nd c
onsu
lting
are
not
mut
ually
exc
lusi
ve
and
do n
ot p
recl
ude
othe
r au
ditin
g se
rvic
es s
uch
as
inve
stig
atio
ns a
nd n
on-a
uditi
ng ro
les.
Usl
uge
pruž
anja
uv
jere
nja
i sa
vjet
ništ
va
nisu
m
eđus
obno
isk
ljuči
ve,
te n
e pr
edst
avlja
ju p
repr
eku
obav
ljanj
u dr
ugih
us
luga
po
put
istra
žite
ljstv
a i
nere
vizi
jski
h ul
oga.
audi
t sof
twar
epr
ogra
msk
a op
rem
a za
revi
ziju
CA
ATs
incl
ude
man
y ty
pes
of to
ols
and
tech
niqu
es, s
uch
as g
ener
aliz
ed a
udit
softw
are,
util
ity s
oftw
are,
tes
t da
ta,
appl
icat
ion
softw
are
traci
ng
and
map
ping
, an
d au
dit
expe
rt sy
stem
s.
Rač
unal
ne r
eviz
ijske
teh
nike
ukl
juču
ju m
nogo
broj
ne
tipov
e al
ata
i te
hnik
a, k
ao š
to s
u op
ća p
rogr
amsk
a op
rem
a za
revi
ziju
, usl
užna
pro
gram
ska
opre
ma,
test
ni
poda
ci, t
rasi
ranj
e i m
apira
nje
aplik
acijs
ke p
rogr
amsk
e op
rem
e, te
sus
tavi
za
revi
zijs
ke s
tručn
jake
.
audi
t sta
ff d
jela
tnic
i rev
izije
Con
tinui
ng P
rofe
ssio
nal D
evel
opm
ent i
s es
sent
ial t
o he
lp
ensu
re a
n au
dit s
taff
rem
ains
pro
ficie
nt.
Sta
lno
stru
čno
usav
ršav
anje
i r
azvo
j od
tem
eljn
e su
važ
nost
i za
pom
oć o
sobl
ju u
odr
žava
nju
razi
ne
stru
čnog
zna
nja.
audi
t sta
ndar
dsre
vizi
jski
sta
ndar
di
This
Pra
ctic
e A
dvis
ory
prov
ides
gui
danc
e fo
r gov
ernm
ent
audi
t or
gani
zatio
ns c
ondu
ctin
g w
ork
in c
ompl
ianc
e w
ith
IIA S
tand
ards
, bu
t w
hose
loc
al g
over
nanc
e ru
les
audi
t st
anda
rds,
pol
icie
s an
d/or
leg
isla
tion
mor
e st
rictly
lim
it no
n-as
sura
nce
(con
sulti
ng) s
ervi
ces.
Ova
j N
aput
ak
za
prak
su
inte
rne
revi
zije
pr
uža
smje
rnic
e or
gani
zaci
jam
a dr
žavn
e re
vizi
je
koje
pr
ovod
e ak
tivno
sti
sukl
adno
sa
Sta
ndar
dim
a IIA
-e,
ali č
iji lo
kaln
i sus
tav
upra
vlja
nja,
rev
izijs
ki s
tand
ardi
, po
litik
e i/i
li za
koni
stro
žije
ogr
anič
avaj
u sa
vjet
ničk
e us
luge
.
310
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
audi
t tec
hniq
ues
revi
zijs
ki p
ostu
pci
The
CA
E r
etai
ns t
he p
rero
gativ
e of
set
ting
the
audi
t te
chni
ques
and
the
right
of r
epor
ting
to s
enio
r exe
cutiv
es
and
audi
t co
mm
ittee
mem
bers
whe
n th
e na
ture
and
m
ater
ialit
y of
re
sults
po
se
sign
ifica
nt
risks
to
th
e or
gani
zatio
n.
Gla
vni r
eviz
or z
adrž
ava
prav
o od
ređi
vanj
a re
vizi
jski
h po
stup
aka,
te
pr
avo
na
izvj
ešći
vanj
e vi
soko
g ru
kovo
dstv
a i
član
ova
upra
ve,
u sl
učaj
evim
a ka
da
priro
da i
mat
erija
lnos
t rez
ulta
ta p
reds
tavl
jaju
zna
čajn
i riz
ik z
a or
gani
zaci
ju.
audi
t tes
ting
prov
jera
revi
zije
The
chie
f au
dit
exec
utiv
e sh
ould
mon
itor
the
obje
ctiv
ity
of t
he i
nter
nal
audi
t st
aff,
take
ste
ps t
o m
anag
e th
at
obje
ctiv
ity
(if
nece
ssar
y),
and
augm
ent
inte
rnal
au
dit
test
ing
to e
nsur
e th
at b
ias
or p
artia
lity
do n
ot a
ffect
the
fin
al ju
dgm
ents
of t
he s
taff.
Gla
vni r
eviz
or tr
eba
nadg
leda
ti ob
jekt
ivno
st d
jela
tnik
a in
tern
e re
vizi
je,
podu
zeti
kora
ke u
cilj
u re
gula
cije
te
obje
ktiv
nost
i (a
ko j
e po
trebn
o) t
e po
jača
ti pr
ovje
re
inte
rne
revi
zije
, ka
ko
bi
osig
urao
da
se
ko
načn
i za
klju
čci r
eviz
ije n
e za
sniv
aju
na p
ristra
nost
i.
audi
t tra
ilza
pis
o pr
oved
enim
akt
ivno
stim
a
Tool
s th
at m
anag
emen
t sh
ould
hav
e in
pla
ce:
firew
alls
(m
ultil
evel
to
parti
tion
e-co
mm
erce
and
oth
er a
ctiv
ities
), pa
ssw
ord
man
agem
ent,
inde
pend
ent
reco
ncili
atio
n, a
nd
audi
t tra
ils.
Ala
ti ko
je r
ukov
odst
vo t
reba
osi
gura
ti: z
aštit
ni z
idov
i za
rač
unal
nu o
prem
u (n
a vi
še r
azin
a, k
ako
bi s
e od
vojil
e ak
tivno
sti
e-trg
ovin
e od
ost
alih
akt
ivno
sti),
su
stav
upr
avlja
nja
lozi
nkam
a, n
ezav
isno
usk
lađi
vanj
e i z
apis
o p
rove
deni
m a
ktiv
nost
ima.
audi
t wor
k sc
hedu
les
radn
i ras
pore
d re
vizi
jeA
udit
wor
k sc
hedu
les
shou
ld b
e ba
sed
on,
amon
g ot
her
fact
ors,
an
asse
ssm
ent o
f ris
k pr
iorit
y an
d ex
posu
re.
Rad
ni r
aspo
red
revi
zije
tre
ba s
e, i
zmeđ
u os
talo
g,
zasn
ivat
i na
ocje
ni p
riorit
eta
i izl
ožen
osti
rizik
u.
audi
t wor
king
pap
ers
radn
i spi
si re
vizi
jeIt
is c
omm
on p
ract
ice
for i
nter
nal a
nd e
xter
nal a
udito
rs to
gr
ant a
cces
s to
eac
h ot
her’s
aud
it w
orki
ng p
aper
s.U
pr
aksi
in
tern
e i
vanj
ske
revi
zije
uo
biča
jeno
je
m
eđus
obno
odo
brav
anje
pris
tupa
radn
im s
pisi
ma.
audi
tee
obje
kt re
vizi
jeA
rran
gem
ents
with
the
Aud
itee
Dog
ovor
s o
bjek
tom
revi
zije
.
audi
tor
revi
zor
Con
sulti
ng
serv
ices
m
ay
enha
nce
the
audi
tor’s
un
ders
tand
ing
of b
usin
ess
proc
esse
s or
iss
ues
rela
ted
to a
n as
sura
nce
enga
gem
ent
and
do n
ot n
eces
saril
y im
pair
the
audi
tor
s o
r th
e in
tern
al a
udit
activ
ity
s ob
ject
ivity
.[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.doc
]
Sav
jetn
ička
ulo
ga r
eviz
ora
mož
e po
boljš
ati
njeg
ovo
razu
mije
vanj
e po
slov
nih
proc
esa
ili
prob
lem
a po
veza
nih
s an
gažm
anim
a pr
užan
ja
uvje
renj
a,
te
ne p
reds
tavl
ja n
užno
pre
prek
u ob
jekt
ivno
sti
inte
rne
revi
zije
.
auto
mat
ed ri
sk a
naly
sis
auto
mat
ska
anal
iza
rizik
aTh
is te
chni
que
incl
udes
aut
omat
ed r
isk
anal
ysis
, sys
tem
so
ftwar
e, a
nd c
ontro
l obj
ectiv
es s
oftw
are
pack
ages
.
Ova
te
hnik
a uk
ljuču
je
auto
mat
sku
anal
izu
rizik
a,
prog
ram
sku
opre
mu
sust
ava
te p
rogr
amsk
e pa
kete
ko
ntro
lnih
cilj
eva.
311
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
BE
AC
Odb
or z
a ce
rtifik
aciju
revi
zora
za
štite
oko
liša,
zdr
avlja
i si
gurn
osti
na ra
du (B
EA
C)
The
Boa
rd o
f E
nviro
nmen
tal,
Hea
lth,
& S
afet
y A
udito
r C
ertif
icat
ions
(B
EA
C)
as w
ell a
s Th
e IIA
pub
lish
prac
tice
stan
dard
s an
d et
hica
l cod
es.
Odb
or z
a ce
rtifik
aciju
revi
zora
zaš
tite
okol
iša,
zdr
avlja
i s
igur
nost
i na
radu
(B
EA
C)
i IIA
obj
avlju
ju s
tand
arde
za
pra
ksu
i etič
ke k
odek
se.
benc
hmar
king
benc
hmar
king
; usp
oređ
ivan
jeB
ench
mar
king
IS p
erfo
rman
ce a
gain
st o
ther
org
aniz
atio
ns
or p
ast p
erio
dsU
spor
eđiv
anje
uč
inka
in
form
acijs
ke
tehn
olog
ije
s dr
ugim
org
aniz
acija
ma
ili p
reth
odni
m ra
zdob
ljim
a.
best
pra
ctic
esna
jbol
ja p
raks
a; n
ajbo
lji (p
oslo
vni)
obič
aji
Thes
e re
view
s ca
n ha
ve c
onsi
dera
ble
valu
e to
the
CA
E
and
othe
r mem
bers
of t
he in
tern
al a
udit
activ
ity, e
spec
ially
w
hen
benc
hmar
king
and
bes
t pra
ctic
es a
re s
hare
d.
Ove
pro
vjer
e m
ogu
biti
od v
elik
og z
nača
ja z
a gl
avno
g re
vizo
ra i
dru
ge č
lano
ve d
jela
tnos
ti in
tern
e re
vizi
je,
naro
čito
u
sluč
ajev
ima
zaje
dnič
kih
stan
dard
a za
be
nchm
arki
ng i
najb
olju
pra
ksu.
Boa
rdup
rava
; Upr
avni
odb
or
But
, an
ap
prop
riate
de
scrip
tion
of
thes
e ty
pes
of
enga
gem
ents
an
d th
eir
sign
ifica
nt
reco
mm
enda
tions
sh
ould
be
com
mun
icat
ed a
nd is
ess
entia
l in
satis
fyin
g th
e in
tern
al a
udito
r s
resp
onsi
bilit
y in
com
plyi
ng w
ith S
tand
ard
2060
, Rep
ortin
g to
the
Boa
rd a
nd S
enio
r Man
agem
ent.
Međ
utim
, po
trebn
o je
obj
aviti
toč
an o
pis
ovih
tip
ova
anga
žman
a i n
jihov
ih z
nača
jnih
pre
poru
ka, k
oji j
e od
kl
jučn
e va
žnos
ti u
ostv
ariv
anju
zad
užen
ja i
nter
nih
revi
zora
za
su
klad
nost
sa
S
tand
ardo
m
2060
-
Izvj
ešći
vanj
e za
upr
avu
i vis
oko
ruko
vods
tvo.
Boa
rd a
nd S
enio
r Man
agem
ent
upra
va i
viso
ko ru
kovo
dstv
o
But
, an
ap
prop
riate
de
scrip
tion
of
thes
e ty
pes
of
enga
gem
ents
an
d th
eir
sign
ifica
nt
reco
mm
enda
tions
sh
ould
be
com
mun
icat
ed a
nd is
ess
entia
l in
satis
fyin
g th
e in
tern
al a
udito
r s
resp
onsi
bilit
y in
com
plyi
ng w
ith S
tand
ard
2060
, Rep
ortin
g to
the
Boa
rd a
nd S
enio
r Man
agem
ent.
Međ
utim
, po
trebn
o je
obj
aviti
toč
an o
pis
ovih
tip
ova
anga
žman
a i n
jihov
ih z
nača
jnih
pre
poru
ka, k
oji j
e od
kl
jučn
e va
žnos
ti u
ostv
ariv
anju
zad
užen
ja i
nter
nih
revi
zora
za
su
klad
nost
sa
S
tand
ardo
m
2060
-
Izvj
ešći
vanj
e za
upr
avu
i vis
oko
ruko
vods
tvo.
boar
d m
embe
rsčl
anov
i upr
ave
Con
sulti
ng e
ngag
emen
ts c
anno
t be
rend
ered
in a
man
ner
that
mas
ks in
form
atio
n th
at in
the
chie
f aud
it ex
ecut
ive
s
(CA
E) j
udgm
ent s
houl
d be
pre
sent
ed to
sen
ior e
xecu
tives
an
d bo
ard
mem
bers
.
Sav
jetn
ički
ang
ažm
ani n
e sm
iju o
mog
ućiti
prik
rivan
je
poda
taka
koj
i po
miš
ljenj
u gl
avno
g re
vizo
ra m
oraj
u bi
ti ob
javl
jeni
vis
okom
ruko
vods
tvu
i čla
novi
ma
upra
ve.
boar
d of
dire
ctor
sU
prav
ni o
dbor
In s
ome
situ
atio
ns t
he a
udito
r s
con
cern
s sh
ould
als
o be
com
mun
icat
ed t
o ex
ecut
ive
man
agem
ent,
the
audi
t co
mm
ittee
, and
/or t
he b
oard
of d
irect
ors.
U n
ekim
situ
acija
ma,
rev
izor
i tak
ođer
tre
baju
izra
ziti
zabr
inut
ost i
zvrš
nom
ruk
ovod
stvu
i re
vizi
jsko
m v
ijeću
i/i
li U
prav
nom
odb
oru.
312
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Boa
rd o
f Env
ironm
enta
l Aud
itor
Cer
tific
atio
n
Odb
or z
a ce
rtifik
aciju
revi
zora
za
štite
oko
liša;
zdr
avlja
i si
gurn
osti
na ra
du (B
EA
C)
The
Boa
rd o
f E
nviro
nmen
tal,
Hea
lth,
& S
afet
y A
udito
r C
ertif
icat
ions
(B
EA
C)
as w
ell a
s Th
e IIA
pub
lish
prac
tice
stan
dard
s an
d et
hica
l cod
es.
Odb
or z
a ce
rtifik
aciju
revi
zora
zaš
tite
okol
iša,
zdr
avlja
i s
igur
nost
i na
radu
(B
EA
C)
i IIA
obj
avlju
ju s
tand
arde
za
pra
ksu
i etič
ke k
odek
se.
book
keep
ing
knjig
ovod
stvo
Tem
pora
ry
serv
ices
su
ch
as
recr
uitin
g,
book
keep
ing,
te
chno
logy
ser
vice
s.P
rivre
men
e us
luge
pop
ut z
apoš
ljava
nja,
knj
igov
odst
va
te te
hnol
oški
h us
luga
.
budg
etpr
orač
un
Act
ivity
rep
orts
sho
uld
high
light
sig
nific
ant
enga
gem
ent
obse
rvat
ions
and
rec
omm
enda
tions
and
sho
uld
info
rm
seni
or m
anag
emen
t an
d th
e bo
ard
of a
ny s
igni
fican
t de
viat
ions
fro
m a
ppro
ved
enga
gem
ent
wor
k sc
hedu
les,
st
affin
g pl
ans,
and
fina
ncia
l bud
gets
, and
the
reas
ons
for
them
.
Izvj
ešća
o a
ktiv
nost
ima
treba
ju n
agla
siti
znač
ajne
pr
imje
dbe
i pre
poru
ke a
ngaž
man
a, te
izvj
estit
i vis
oko
ruko
vods
tvo
i upr
avu
o sv
akom
zna
čajn
om o
dstu
panj
u od
odo
bren
ih r
adni
h ra
spor
eda
anga
žman
a, p
lano
va
zapo
šlja
vanj
a i f
inan
cijs
kih
pror
ačun
a, t
e ra
zlog
e za
ta
ods
tupa
nja.
busi
ness
nor
ms
posl
ovni
sta
ndar
di
An
orga
niza
tion
uses
var
ious
leg
al f
orm
s, s
truct
ures
, st
rate
gies
, an
d pr
oced
ures
to
ensu
re t
hat
it sa
tisfie
s th
e ge
nera
lly a
ccep
ted
busi
ness
nor
ms,
eth
ical
pre
cept
s, a
nd
soci
al e
xpec
tatio
ns o
f soc
iety
.
Org
aniz
acije
kor
iste
raz
ličite
pra
vne
oblik
e, s
trukt
ure,
st
rate
gije
i
proc
edur
e u
cilju
za
dovo
ljava
nja
opće
prih
vaće
nih
posl
ovni
h st
anda
rda,
etič
kih
prop
isa
i dru
štve
nih
oček
ivan
ja.
busi
ness
uni
tpo
slov
na je
dini
caIn
a la
rge
com
pany
with
sev
eral
bus
ines
s un
its, c
ompl
ianc
e re
spon
sibi
litie
s sh
ould
be
assi
gned
to h
igh-
leve
l per
sonn
el
in e
ach
unit.
U v
elik
oj o
rgan
izac
iji s
nek
olik
o po
slov
nih
jedi
nica
, za
duže
nja
za p
oštiv
anje
zak
onsk
e re
gula
tive
mor
aju
se d
odije
liti v
isok
om ru
kovo
dstv
u u
svak
oj je
dini
ci.
CA
ATs
raču
naln
e re
vizi
jske
tehn
ike
(CA
AT)
CA
ATs
incl
ude
man
y ty
pes
of to
ols
and
tech
niqu
es, s
uch
as g
ener
aliz
ed a
udit
softw
are,
util
ity s
oftw
are,
tes
t da
ta,
appl
icat
ion
softw
are
traci
ng
and
map
ping
, an
d au
dit
expe
rt sy
stem
s.
Rač
unal
ne r
eviz
ijske
teh
nike
ukl
juču
ju m
nogo
broj
ne
tipov
e al
ata
i te
hnik
a, k
ao š
to s
u op
ća p
rogr
amsk
a op
rem
a za
revi
ziju
, usl
užna
pro
gram
ska
opre
ma,
test
ni
poda
ci, t
rasi
ranj
e i m
apira
nje
aplik
acijs
ke p
rogr
amsk
e op
rem
e, te
sus
tavi
za
revi
zijs
ke s
tručn
jake
.
CA
ATs
pro
cess
Pro
ces
upor
abe
raču
naln
ih
revi
zijs
kih
tehn
ika
(CA
AT)
The
step
-by-
step
CA
ATs
pro
cess
sho
uld
be s
uffic
ient
ly
docu
men
ted
to p
rovi
de a
dequ
ate
audi
t evi
denc
e.
Det
aljn
i pro
ces
upor
abe
raču
naln
ih re
vizi
jski
h te
hnik
a tre
ba b
iti d
ovol
jno
doku
men
tiran
za
pruž
anje
dos
tatn
og
revi
zijs
kog
doka
za.
CA
Egl
avni
inte
rni r
eviz
orTh
e ch
ief a
udit
exec
utiv
e (C
AE
) sh
ould
see
k ap
prov
al o
f th
e ch
arte
r by
seni
or m
anag
emen
t as
wel
l as
acce
ptan
ce
by th
e bo
ard.
Gla
vni
revi
zor
treba
po
traži
ti od
obre
nje
viso
kog
ruko
vods
tva
i upr
ave
za u
svaj
anje
pov
elje
.
313
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
CA
Es
glav
ni in
tern
i rev
izor
iTh
e ch
ief a
udit
exec
utiv
e (C
AE
) sh
ould
see
k ap
prov
al o
f th
e ch
arte
r by
seni
or m
anag
emen
t as
wel
l as
acce
ptan
ce
by th
e bo
ard.
Gla
vni
revi
zor
treba
po
traži
ti od
obre
nje
viso
kog
ruko
vods
tva
i upr
ave
za u
svaj
anje
pov
elje
.
Can
adia
n In
stitu
te o
f Cha
rtere
d A
ccou
ntan
tsK
anad
ski i
nstit
ut o
vlaš
teni
h ko
ntro
lora
This
pap
er i
s av
aila
ble
on t
he I
IA W
eb s
ite a
nd w
as
spon
sore
d by
The
IIA
Res
earc
h Fo
unda
tion,
the
Can
adia
n In
stitu
te o
f C
harte
red
Acc
ount
ants
, an
d th
e In
stitu
te o
f C
orpo
rate
Dire
ctor
s.
Ova
j dok
umen
t mož
e se
nać
i na
web
stra
nici
IIA
-e, a
po
krov
itelji
su
mu
Zakl
ada
za is
traži
vanj
e IIA
, Kan
adsk
i in
stitu
t ov
lašt
enih
kon
trolo
ra i
Ins
titut
kor
pora
tivni
h di
rekt
ora.
cash
flow
novč
ani t
ok; o
ptic
aj s
reds
tava
; pr
otok
kap
itala
; tije
k go
tovi
ne
Bas
ed o
n hi
s or
her
kno
wle
dge,
the
finan
cial
sta
tem
ents
, an
d ot
her f
inan
cial
info
rmat
ion
incl
uded
in th
e re
port,
fairl
y pr
esen
t in
all
mat
eria
l re
spec
ts t
he f
inan
cial
con
ditio
n,
resu
lts o
f op
erat
ions
and
cas
h flo
ws
of t
he is
suer
as
of,
and
for,
the
perio
ds p
rese
nted
in th
e re
port.
Na
tem
elju
njih
ovih
saz
nanj
a, fi
nanc
ijski
h iz
vješ
ća, t
e dr
ugih
fina
ncijs
kih
poda
taka
u re
vizi
jsko
m iz
vješ
ću, n
a ko
rekt
an n
ačin
pre
dsta
viti
u sv
im z
nača
jnim
asp
ektim
a fin
anci
jsko
sta
nje,
rezu
ltate
akt
ivno
sti i
pro
tok
kapi
tala
iz
dava
telja
, u ti
jeku
i za
razd
oblje
koj
e je
pre
dsta
vlje
no
u iz
vješ
ću.
cell
sam
ple
stan
ični
uzo
rak
For s
elec
tion
on q
uant
itativ
e fie
lds,
com
mon
met
hods
are
: R
ando
m S
ampl
e (s
tatis
tical
sam
ple
on m
onet
ary
units
), Fi
xed
Inte
rval
Sam
ple
(sta
tistic
al s
ampl
e us
ing
a fix
ed
inte
rval
), C
ell
Sam
ple
(sta
tistic
al s
ampl
e us
ing
rand
om
sele
ctio
n in
an
inte
rval
).
Uob
ičaj
ene
met
ode
za o
dabi
r kv
antit
ativ
nih
polja
su:
sl
učaj
ni u
zora
k (s
tatis
tički
uzo
rak
novč
anih
jedi
nica
), uz
orak
fiks
nog
inte
rval
a (s
tatis
tički
uzo
rak
koji
koris
ti fik
sni i
nter
val),
sta
ničn
i uzo
rak
(sta
tistič
ki u
zora
k ko
ji ko
risti
sluč
ajan
oda
bir u
nuta
r nek
og in
terv
ala)
.
CE
O g
lavn
i izv
ršni
dire
ktor
Acc
ordi
ngly
, whi
le T
he II
A b
elie
ves
that
ther
e is
an
idea
l re
porti
ng s
truct
ure
with
fun
ctio
nal
repo
rting
to
the
audi
t co
mm
ittee
and
adm
inis
trativ
e re
porti
ng to
the
CE
O, o
ther
re
latio
nshi
ps c
an b
e ef
fect
ive
if th
ere
are
clea
r dis
tinct
ions
be
twee
n th
e fu
nctio
nal a
nd a
dmin
istra
tive
repo
rting
line
s an
d ap
prop
riate
act
iviti
es a
re in
eac
h lin
e to
ens
ure
that
th
e in
depe
nden
ce a
nd s
cope
of a
ctiv
ities
are
mai
ntai
ned.
Pre
ma
tom
e,
iako
IIA
sm
atra
da
po
stoj
i id
ealn
a or
gani
zaci
jska
st
rukt
ura
s fu
nkci
onal
nim
lin
ijam
a od
govo
rnos
ti re
vizi
jsko
m
vije
ću
i ad
min
istra
tivni
m
linija
ma
odgo
vorn
osti
gene
raln
om d
irekt
oru,
i dr
ugač
iji
odno
si
mog
u do
bro
funk
cion
irati,
uk
olik
o po
stoj
e ja
sne
razl
ike
izm
eđu
funk
cion
alni
h i
adm
inis
trativ
nih
linija
odg
ovor
nost
i, i a
ko z
a sv
aku
liniju
pos
toje
mje
re
koje
osi
gura
vaju
odr
žava
nje
neza
visn
osti
i dje
lokr
uga
aktiv
nost
i.
Cer
tifie
d In
tern
al A
udito
rsov
lašt
eni i
nter
ni re
vizo
ri (C
IA)
Be
perfo
rmed
by
Cer
tifie
d In
tern
al A
udito
rs (
CIA
s) o
r ot
her
com
pete
nt a
udit
prof
essi
onal
s, c
urre
ntly
ass
igne
d el
sew
here
in th
e or
gani
zatio
n.
Pov
rem
eno
inte
rno
vred
nova
nje
prov
ode
ovla
šten
i in
tern
i rev
izor
i ili d
rugi
kom
pete
ntni
revi
zijs
ki s
tručn
jaci
, ko
ji u
tijek
u po
stup
ka im
aju
drug
a za
duže
nja
unut
ar
orga
niza
cije
.
314
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
chai
n of
com
man
dlin
ija o
dgov
orno
sti
The
CA
E s
houl
d ev
alua
te t
he o
rgan
izat
iona
l pl
acem
ent
and
inde
pend
ence
of t
he e
nviro
nmen
tal a
udit
func
tion
to
ensu
re th
at s
igni
fican
t mat
ters
resu
lting
from
ser
ious
risk
s to
the
ente
rpris
e ar
e re
porte
d up
the
chai
n of
com
man
d to
th
e au
dit o
r oth
er c
omm
ittee
of t
he g
over
ning
boa
rd.
Gla
vni
revi
zor
treba
oci
jeni
ti or
gani
zaci
jski
pol
ožaj
i
neza
visn
ost
funk
cije
rev
izije
zaš
tite
okol
iša,
kak
o bi
osi
gura
o da
se
znač
ajna
pita
nja
u sv
ezi
tešk
ih
rizik
a za
pod
uzeć
e po
lini
ji od
govo
rnos
ti pr
iopć
avaj
u re
vizi
jsko
m il
i dru
gom
vije
ću U
prav
nog
odbo
ra.
char
ter
pove
lja
The
purp
ose,
aut
horit
y, a
nd r
espo
nsib
ility
of
the
inte
rnal
au
dit
activ
ity s
houl
d be
for
mal
ly d
efin
ed i
n a
char
ter,
cons
iste
nt
with
th
e S
tand
ards
, an
d ap
prov
ed
by
the
boar
d.
Svr
ha,
ovla
šten
ja
i za
duže
nja
djel
atno
sti
inte
rne
revi
zije
treb
aju
se s
lužb
eno
defin
irati
pute
m p
ovel
je, u
su
klad
nost
i sa
Sta
ndar
dim
a i u
z od
obre
nje
upra
ve.
Cha
rter O
ptio
n C
hapt
ers
ugov
orni
ogr
anci
(ute
mel
jeni
na
pove
ljam
a)
chat
room
s(In
tern
et) p
ričao
nice
Chi
ef A
udit
Exe
cutiv
egl
avni
inte
rni r
eviz
or
The
chie
f aud
it ex
ecut
ive
shou
ld d
evel
op a
nd m
aint
ain
a qu
ality
ass
uran
ce a
nd im
prov
emen
t pro
gram
that
cov
ers
all a
spec
ts o
f th
e in
tern
al a
udit
activ
ity a
nd c
ontin
uous
ly
mon
itors
its
effe
ctiv
enes
s.
Gla
vni
revi
zor
treba
ra
zviti
i
održ
avat
i pr
ogra
m
osig
uran
ja i
pob
oljš
anja
kva
litet
e ko
ji će
pok
riti
sve
aspe
kte
djel
atno
sti
inte
rne
revi
zije
, te
sta
lno
prat
iti
njeg
ovu
učin
kovi
tost
.
chie
f com
plia
nce
offic
erna
čeln
ik z
a po
štiv
anje
zak
onsk
e re
gula
tive
It is
not
eno
ugh
for
the
com
pany
to
crea
te t
he p
ositi
on
of c
hief
com
plia
nce
offic
er a
nd t
o se
lect
the
res
t of
the
co
mpl
ianc
e un
it.
Nije
do
voljn
o da
po
duze
će
otvo
ri ra
dno
mje
sto
nače
lnik
a za
poš
tivan
je z
akon
ske
regu
lativ
e i o
dabe
re
osta
lo o
sobl
je to
g od
jela
.
chie
f eth
ics
offic
erna
čeln
ik z
a et
ičko
pos
lova
nje
A g
row
ing
num
ber
of o
rgan
izat
ions
hav
e de
sign
ated
a
chie
f eth
ics
offic
er a
s co
unse
lor o
f exe
cutiv
es, m
anag
ers,
an
d ot
hers
.
Sve
već
i br
oj o
rgan
izac
ija i
ma
nače
lnik
a za
etič
ko
posl
ovan
je,
u ul
ozi
savj
etni
ka r
ukov
odst
vu i
dru
gim
dj
elat
nici
ma.
chie
f exe
cutiv
e of
ficer
gla
vni i
zvrš
ni d
irekt
orId
eally
, th
e C
AE
sho
uld
repo
rt fu
nctio
nally
to
the
boar
d an
d ad
min
istra
tivel
y to
the
chi
ef e
xecu
tive
offic
er o
f th
e or
gani
zatio
n.
U
idea
lnom
sl
učaj
u,
glav
ni
revi
zor
odgo
vora
n je
U
prav
nom
od
boru
po
fu
nkci
onal
noj
liniji
od
govo
rnos
ti, te
gen
eral
nom
dire
ktor
u or
gani
zaci
je p
o ad
min
istra
tivno
j lin
iji o
dgov
orno
sti.
chie
f fin
anci
al o
ffice
rgl
avni
fina
ncijs
ki d
irekt
orFo
r ex
ampl
e, s
ome
CA
Es
repo
rt ad
min
istra
tivel
y to
the
ch
ief
finan
cial
offi
cer,
who
is
also
res
pons
ible
for
the
or
gani
zatio
n s
acc
ount
ing
func
tions
.
Na
prim
jer,
neki
gl
avni
re
vizo
ri od
govo
rni
su
glav
nom
fin
anci
jsko
m d
irekt
oru
po a
dmin
istra
tivno
j lin
iji
odgo
vorn
osti,
ko
ji je
ta
kođe
r za
duže
n za
ra
čuno
vods
tven
e fu
nkci
je o
rgan
izac
ije.
315
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
CIA
sov
lašt
eni i
nter
ni re
vizo
ri (C
IA)
Per
iodi
c in
tern
al
asse
ssm
ents
m
ay
be
perfo
rmed
by
C
ertif
ied
Inte
rnal
A
udito
rs
(CIA
s)
or
othe
r co
mpe
tent
au
dit
prof
essi
onal
s, c
urre
ntly
ass
igne
d el
sew
here
in t
he
orga
niza
tion.
Pov
rem
eno
inte
rno
vred
nova
nje
prov
ode
ovla
šten
i in
tern
i rev
izor
i ili d
rugi
kom
pete
ntni
revi
zijs
ki s
tručn
jaci
, ko
ji u
tijek
u po
stup
ka im
aju
drug
a za
duže
nja
unut
ar
orga
niza
cije
.
CO
BIT
CO
BIT
(Kon
troln
i cilj
evi z
a up
ravl
janj
e in
form
acijs
kim
te
hnol
ogija
ma)
CO
BIT
’s
cont
rol
obje
ctiv
es
for
the
Pla
nnin
g an
d O
rgan
izat
ion
and
Mon
itorin
g do
mai
ns m
ay h
elp
the
IS
Aud
itor t
o id
entif
y re
leva
nt p
erva
sive
IS c
ontro
ls.
CO
BIT
kon
troln
i ci
ljevi
za
upra
vlja
nje
info
rmac
ijski
m
tehn
olog
ijam
a m
ogu
pom
oći r
eviz
orim
a in
form
acijs
kih
sust
ava
u pr
epoz
nava
nju
rele
vant
nih
sveo
buhv
atni
h ko
ntro
la in
form
acijs
kih
sust
ava.
CO
BIT
fram
ewor
kC
OB
IT o
kvir;
Okv
ir ko
ntro
lnih
ci
ljeva
za
upra
vlja
nje
info
rmac
ijski
m te
hnol
ogija
ma
In t
he C
OB
IT f
ram
ewor
k, d
etai
led
IS c
ontro
ls a
re t
he
cont
rols
ove
r the
acq
uisi
tion,
impl
emen
tatio
n, d
eliv
ery
and
supp
ort o
f IS
sys
tem
s an
d se
rvic
es.
U
CO
BIT
ok
viru
ko
ntro
lnih
ci
ljeva
za
up
ravl
janj
e in
form
acijs
kim
te
hnol
ogija
ma,
de
taljn
e ko
ntro
le
info
rmac
ijski
h su
stav
a uk
ljuču
ju
kont
role
na
bave
, pr
imje
ne,
prov
edbe
i po
dršk
e in
form
acijs
kih
sust
ava
i usl
uga.
CO
BIT
pro
cess
refe
renc
eoz
naka
pro
cesa
u C
OB
IT o
kviru
For
exam
ple,
effe
ctiv
e de
taile
d IS
con
trol
Acq
uire
and
M
aint
ain
App
licat
ion
Sof
twar
e (C
OB
IT p
roce
ss r
efer
ence
A
I2)
are
affe
cted
by
the
adeq
uacy
of
the
perv
asiv
e IS
co
ntro
ls o
ver p
roce
sses
.
Na
prim
jer,
učin
kovi
tost
det
aljn
e ko
ntro
le in
form
acijs
kih
sust
ava
- Nab
ava
i odr
žava
nje
aplik
acijs
ke p
rogr
amsk
e op
rem
e (o
znak
a pr
oces
a A
I2 u
CO
BIT
okv
iru) -
zav
isi
od a
dekv
atno
sti s
veob
uhva
tnih
kon
trola
info
rmac
ijski
h su
stav
a na
d pr
oces
ima.
code
of c
ondu
ctko
deks
pon
ašan
ja
Com
pani
es
mus
t es
tabl
ish
an
appr
opria
te
cont
rol
envi
ronm
ent
that
inc
lude
s: A
cod
e of
con
duct
, et
hics
po
licy,
or
fraud
pol
icy
to s
et t
he a
ppro
pria
te t
one
at t
he
top.
Pod
uzeć
a m
oraj
u ut
vrdi
ti od
gova
raju
će
kont
roln
o ok
ruže
nje
koje
ukl
juču
je:
kode
ks p
onaš
anja
, et
ičku
po
litik
u ili
pol
itiku
za
sprje
čava
nje
prije
vara
, u
cilju
od
ređi
vanj
a et
ičko
g oz
račj
a po
duze
ća o
d vr
ha p
rem
a dn
u.
Cod
e of
Eth
ics
Etič
ki k
odek
s
Thus
, in
the
perfo
rman
ce o
f all
serv
ices
the
inte
rnal
aud
itor
is g
uide
d by
The
IIA
’s C
ode
of E
thic
s an
d th
e A
ttrib
ute
and
Per
form
ance
Sta
ndar
ds o
f the
Inte
rnat
iona
l Sta
ndar
ds fo
r th
e P
rofe
ssio
nal P
ract
ice
of In
tern
al A
uditi
ng (S
tand
ards
).
Sto
ga, p
rilik
om o
bavl
janj
a sv
ih u
slug
a, in
tern
i rev
izor
i os
lanj
aju
se n
a sm
jern
ice
Etič
kog
kode
ksa
IIA-e
, te
O
pisn
ih s
tand
arda
i S
tand
arda
uči
nkov
itost
i ko
ji su
di
o M
eđun
arod
nih
stan
dard
a za
pro
fesi
onal
nu p
raks
u in
tern
e re
vizi
je (S
tand
ardi
).
316
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
com
mitt
eevi
jeće
;odb
or
The
follo
win
g lis
ts s
ugge
sted
top
ics
that
the
CA
E m
ay
cons
ider
in
supp
ortin
g th
e or
gani
zatio
n s
gove
rnan
ce
proc
ess
and
the
over
sigh
t res
pons
ibili
ties
of th
e go
vern
ing
boar
d an
d its
au
dit
com
mitt
ee
(or
othe
r de
sign
ated
co
mm
ittee
) to
ensu
re th
e re
liabi
lity
and
inte
grity
of f
inan
cial
re
ports
.
Slij
edi
popi
s pr
edlo
ženi
h te
ma
koje
gla
vni
revi
zor
mož
e uz
eti u
obz
ir pr
iliko
m p
ruža
nja
potp
ore
proc
esu
orga
niza
cijs
kog
upra
vlja
nja,
te n
adzo
rnim
zadu
ženj
ima
Upr
avno
g od
bora
i nj
egov
ih re
vizi
jski
h vi
jeća
(ili
drug
ih
imen
ovan
ih v
ijeća
), u
cilju
osi
gura
nja
pouz
dano
sti
i vj
erod
osto
jnos
ti fin
anci
jski
h iz
vješ
ća.
Com
mitt
ee o
f Spo
nsor
ing
Org
aniz
atio
nsK
omite
t za
spon
zorir
anje
or
gani
zaci
ja (C
OS
O)
The
IIA b
elie
ves
that
the
mos
t ef
fect
ive
inte
rnal
con
trol
guid
ance
ava
ilabl
e to
day
is t
he r
epor
t In
tern
al C
ontro
l In
tegr
ated
Fra
mew
ork,
pub
lishe
d in
199
2 an
d 19
94 b
y th
e C
omm
ittee
of
Spo
nsor
ing
Org
aniz
atio
ns (
CO
SO
) of
the
Tr
eadw
ay C
omm
issi
on.
IIA s
mat
ra d
a su
tren
utno
naj
pouz
dani
je s
mje
rnic
e za
in
tern
u re
vizi
ju s
adrž
ane
u iz
vješ
ću “
Inte
grira
ni o
kvir
inte
rnih
kon
trola
”, u
izda
nju
Kom
iteta
za
spon
zorir
anje
or
gani
zaci
ja (
CO
SO
) Tr
eadw
ay p
ovje
rens
tva
1992
. i
1994
.
com
mitt
ee o
f the
gov
erni
ng
boar
dvi
jeće
Upr
avno
g od
bora
Abo
ut o
ne-h
alf o
f the
env
ironm
enta
l aud
itors
sel
dom
mee
t w
ith a
com
mitt
ee o
f th
e go
vern
ing
boar
d an
d on
ly 4
0 pe
rcen
t hav
e so
me
cont
act w
ith th
e C
AE
.
Otp
rilik
e je
dna
polo
vica
re
vizo
ra
sust
ava
zašt
ite
okol
iša
rijet
ko s
e su
sreć
e s
vije
ćem
Upr
avno
g od
bora
, a
sam
o 40
% o
drža
va p
ovre
men
i ko
ntak
t s
glav
nim
re
vizo
rom
.
com
plia
nce
prid
ržav
anje
; pra
ćenj
e;
sukl
adno
st; p
oštiv
anje
Mon
itorin
g m
anag
emen
t s
com
plia
nce
with
th
e or
gani
zatio
n s
code
of c
ondu
ct a
nd e
nsur
ing
that
eth
ical
po
licie
s an
d ot
her
proc
edur
es p
rom
otin
g et
hica
l beh
avio
r ar
e be
ing
follo
wed
.
Pra
ćenj
e pr
idrž
avan
ja
kode
ksa
pona
šanj
a or
gani
zaci
je, t
e et
ički
h po
litik
a i d
rugi
h pr
oced
ura
koje
pr
omič
u et
ičko
pon
ašan
je.
com
preh
ensi
ve a
udit
sveo
buhv
atna
revi
zija
Ass
ist
the
CA
E a
nd a
udit
man
agem
ent
with
bud
getin
g an
d fin
anci
al a
dmin
istra
tion
for
the
inte
rnal
aud
it ac
tivity
. M
aint
ain
and
upda
te
the
com
preh
ensi
ve
audi
t ris
k un
iver
se,
incl
udin
g ga
ther
ing
and
inco
rpor
atin
g ne
w
info
rmat
ion
impa
ctin
g th
e un
iver
se; o
vers
eein
g th
e di
visi
on
of re
spon
sibi
litie
s am
ong
inte
rnal
aud
it, e
xter
nal a
udit,
and
ot
her e
valu
atio
n an
d in
vest
igat
ion
func
tions
.
Pru
žati
pom
oć g
lavn
om re
vizo
ru i
ruko
vods
tvu
revi
zije
u
upra
vlja
nju
pror
ačun
om i
finan
cija
ma
za d
jela
tnos
t in
tern
e re
vizi
je. O
drža
vati
i ažu
rirat
i uni
verz
um r
izik
a sv
eobu
hvat
ne r
eviz
ije,
uklju
čuju
ći p
rikup
ljanj
e no
vih
info
rmac
ija p
ovez
anih
s u
nive
rzum
om,
nadz
or n
ad
podj
elom
za
duže
nja
izm
eđu
djel
atno
sti
inte
rne
i va
njsk
e re
vizi
je
te
drug
ih
ocje
njiv
ački
h i
istra
žnih
fu
nkci
ja.
Com
pute
r Ass
iste
d A
udit
Tech
niqu
esra
čuna
lne
revi
zijs
ke te
hnik
e (C
AA
T)C
ompu
ter
Ass
iste
d A
udit
Tech
niqu
es
(CA
ATs
) ar
e im
porta
nt to
ols
for t
he a
udito
r in
perfo
rmin
g au
dits
.R
ačun
alne
rev
izijs
ke te
hnik
e (C
AA
T) v
ažno
su
oruđ
e za
revi
zore
u p
rovo
đenj
u re
vizi
je.
317
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Com
pute
r Ass
iste
d A
udit
Tech
niqu
es (C
AA
Ts)
raču
naln
e re
vizi
jske
tehn
ike
(CA
AT)
Com
pute
r A
ssis
ted
Aud
it Te
chni
ques
(C
AA
Ts)
are
impo
rtant
to
ols
for
the
audi
tor
in
perfo
rmin
g au
dits
.[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.do
c]
Rač
unal
ne r
eviz
ijske
tehn
ike
(CA
AT)
važ
no s
u or
uđe
za re
vizo
re u
pro
vođe
nju
revi
zije
.
Com
pute
r Ass
iste
d A
udit
Tech
niqu
es.
raču
naln
e re
vizi
jske
tehn
ike
(CA
AT)
Com
pute
r A
ssis
ted
Aud
it Te
chni
ques
(C
AA
Ts)
are
impo
rtant
tool
s fo
r the
aud
itor i
n pe
rform
ing
audi
ts.
Rač
unal
ne r
eviz
ijske
tehn
ike
(CA
AT)
važ
no s
u or
uđe
za re
vizo
re u
pro
vođe
nju
revi
zije
.
com
pute
r-as
sist
ed a
udit
tech
niqu
esra
čuna
lne
revi
zijs
ke te
hnik
e (C
AA
T)
Det
aile
d tra
nsac
tion
reco
rds
may
onl
y be
ava
ilabl
e in
m
achi
ne-r
eada
ble
form
at r
equi
ring
the
audi
tor
to o
btai
n au
dit e
vide
nce
usin
g co
mpu
ter-
assi
sted
aud
it te
chni
ques
.
Det
aljn
i za
pisi
o t
rans
akci
jam
a m
ogu
biti
dost
upni
sa
mo
u st
rojn
o či
tljiv
om
form
atu,
št
o za
htije
va
koriš
tenj
e ra
čuna
lnih
rev
izijs
kih
tehn
ika
u pr
ibav
ljanj
u re
vizi
jsko
g do
kaza
.
com
pute
r-as
sist
ed a
udit
tool
sra
čuna
lno
revi
zijs
ko o
ruđe
Due
Pro
fess
iona
l Car
e In
exe
rcis
ing
due
prof
essi
onal
car
e th
e in
tern
al a
udito
r sh
ould
con
side
r th
e us
e of
com
pute
r-as
sist
ed a
udit
tool
s an
d ot
her d
ata
anal
ysis
tech
niqu
es.
U p
rimje
ni d
užne
pro
fesi
onal
ne p
ozor
nost
i, in
tern
i re
vizo
r tre
ba
uzet
i u
obzi
r ko
rište
nje
raču
naln
og
revi
zijs
kog
oruđ
a i d
rugi
h te
hnik
a an
aliz
e po
data
ka.
com
pute
rized
app
licat
ion
cont
rols
raču
naln
e ap
likac
ijske
kon
trole
In th
e ab
senc
e of
stro
ng g
ener
al IT
con
trols
, the
aud
itor
may
mak
e an
ass
essm
ent o
f the
effe
ct o
f thi
s w
eakn
ess
on th
e re
liabi
lity
of th
e co
mpu
teriz
ed a
pplic
atio
n co
ntro
ls.
U sl
učaj
u ne
dost
atka
uči
nkov
itih
kont
rola
info
rmac
ijski
h te
hnol
ogija
, re
vizo
r m
ože
proc
ijeni
ti uč
inak
to
g ne
dost
atka
na
pouz
dano
st r
ačun
alni
h ap
likac
ijski
h ko
ntro
la.
conf
lict o
f Int
eres
tsu
kob
inte
resa
cons
ultin
gsa
vjet
ništ
voA
ssur
ance
and
con
sulti
ng a
re n
ot m
utua
lly e
xclu
sive
an
d do
not
pre
clud
e ot
her
audi
ting
serv
ices
suc
h as
in
vest
igat
ions
and
non
-aud
iting
role
s.
Usl
uge
pruž
anja
uv
jere
nja
i sa
vjet
ništ
va
nisu
m
eđus
obno
isk
ljuči
ve,
te n
e pr
edst
avlja
ju p
repr
eku
obav
ljanj
u dr
ugih
us
luga
po
put
istra
žite
ljstv
a i
nere
vizi
jski
h ul
oga.
cons
ultin
g en
gage
men
t rec
ords
poda
ci s
avje
tnič
kog
anga
žman
a;
evid
enci
ja s
avje
tnič
kog
anga
žman
a
Aud
itors
are
enc
oura
ged
to a
dopt
app
ropr
iate
rec
ord
rete
ntio
n po
licie
s an
d ad
dres
s re
late
d is
sues
, su
ch a
s ow
ners
hip
of c
onsu
lting
eng
agem
ent r
ecor
ds, i
n or
der
to
prot
ect t
he o
rgan
izat
ion
adeq
uate
ly a
nd to
avo
id p
oten
tial
mis
unde
rsta
ndin
gs in
volv
ing
requ
ests
for t
hese
reco
rds.
Rev
izor
ima
se
savj
etuj
e us
vaja
nje
odgo
vara
jući
h po
litik
a po
hran
e po
data
ka i
pos
veći
vanj
e po
zorn
osti
pove
zani
m t
emam
a, k
ao š
to s
u vl
asni
štvo
pod
atak
a sa
vjet
ničk
og a
ngaž
man
a, u
cilj
u ad
ekva
tne
zašt
ite
orga
niza
cije
i i
zbje
gava
nja
mog
ućih
nes
pora
zum
a u
svez
i zah
tjeva
za
tim p
odac
ima.
318
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
cons
ultin
g en
gage
men
tssa
vjet
ničk
i ang
ažm
ani
Inte
rnal
aud
itors
are
rem
inde
d th
at t
he A
ttrib
ute
and
Per
form
ance
S
tand
ards
re
late
to
in
tern
al
audi
tors
pe
rform
ing
both
ass
uran
ce a
nd c
onsu
lting
eng
agem
ents
.
Inte
rni
revi
zori
treba
ju
se
pods
jetit
i na
to
da
se
O
pisn
i sta
ndar
di i
Sta
ndar
di u
čink
ovito
sti u
jedn
akoj
m
jeri
odno
se n
a an
gažm
ane
pruž
anja
uvj
eren
ja i
sa
vjet
ništ
va.
Con
sulti
ng Im
plem
enta
tion
Sta
ndar
dsS
tand
ardi
za
obav
ljanj
e us
luga
sa
vjet
ništ
vaTh
is
Pra
ctic
e A
dvis
ory
incl
udes
gu
idan
ce
rela
ted
to
mul
tiple
Con
sulti
ng Im
plem
enta
tion
Sta
ndar
ds.
Ova
j N
aput
ak z
a pr
aksu
int
erne
rev
izije
ukl
juču
je
smje
rnic
e u
svez
i viš
estru
kih
Sta
ndar
da z
a ob
avlja
nje
uslu
ga s
avje
tniš
tva.
cons
ultin
g se
rvic
essa
vjet
ničk
e us
luge
cont
inge
ncy
plan
plan
za
sluč
aj n
epre
dviđ
enih
ok
olno
sti
If ve
ndor
s pr
ovid
e ho
stin
g se
rvic
es, d
o th
ey h
ave
a te
sted
bu
sine
ss c
ontin
genc
y pl
an?
Uko
liko
pruž
atel
ji us
luga
pru
žaju
hos
ting
uslu
ge, i
maj
u li
pouz
dan
posl
ovni
pl
an
za
sluč
aj
nepr
edvi
đeni
h ok
olno
sti?
cont
inui
ng e
duca
tion
stal
no o
braz
ovan
je; s
taln
o st
ručn
o us
avrš
avan
jeC
ontin
uing
ed
ucat
ion
may
be
ob
tain
ed
thro
ugh
mem
bers
hip
and
parti
cipa
tion
in p
rofe
ssio
nal s
ocie
ties.
Sta
lno
stru
čno
usav
ršav
anje
mož
e se
pos
tići p
utem
čl
anst
va i
sudj
elov
anja
u s
tručn
im u
druž
enjim
a.
cont
rol
kont
rola
CO
BIT
de
fines
co
ntro
l as
th
e po
licie
s,
proc
edur
es,
prac
tices
an
d or
gani
zatio
nal
stru
ctur
es,
desi
gned
to
pr
ovid
e re
ason
able
ass
uran
ce th
at b
usin
ess
obje
ctiv
es w
ill
be a
chie
ved
and
that
und
esire
d ev
ents
will
be
prev
ente
d or
det
ecte
d an
d co
rrec
ted.
CO
BIT
def
inira
kon
trolu
kao
sus
tav
polit
ika,
pro
cedu
ra,
prak
se i o
rgan
izac
ijski
h st
rukt
ura,
koj
i slu
ži z
a pr
užan
je
razu
mno
g uv
jere
nja
o os
tvar
ivan
ju p
oslo
vnih
cilj
eva,
te
spr
ječa
vanj
u ili
otk
rivan
ju i
ispr
avlja
nju
nepo
željn
ih
doga
đaja
.
cont
rol e
nviro
nmen
tko
ntro
lno
okru
ženj
e; o
kruž
enje
su
stav
a ko
ntro
la
cont
rol p
roce
ss k
ontro
lni p
roce
s
cont
rol s
elf-a
sses
smen
t ko
ntro
lno
sam
ovre
dnov
anje
Con
trol
self-
asse
ssm
ent
(CS
A)
met
hodo
logy
ca
n be
us
ed b
y m
anag
ers
and
inte
rnal
aud
itors
for
ass
essi
ng
the
adeq
uacy
of t
he o
rgan
izat
ion
s ris
k m
anag
emen
t and
co
ntro
l pro
cess
es.
Ruk
ovod
stvo
i
inte
rni
revi
zori
mog
u ko
ristit
i m
etod
olog
iju k
ontro
lnog
sam
ovre
dnov
anja
(C
SA
) za
vr
edno
vanj
e ad
ekva
tnos
ti pr
oces
a up
ravl
janj
a riz
ikom
i k
ontro
la o
rgan
izac
ije.
cont
rol s
elf-a
sses
smen
t too
lsal
ati k
ontro
lnog
sam
ovre
dnov
anja
Con
trol
self-
asse
ssm
ent
(CS
A)
tool
s us
ed
by
man
agem
ent.
Oru
đe
kont
roln
og
sam
ovre
dnov
anja
ko
je
koris
ti ru
kovo
dstv
o.
corn
erst
one
tem
elj;
tem
eljn
i ele
men
t; no
site
lj
Sen
ior
man
agem
ent,
boar
ds
of
dire
ctor
s,
inte
rnal
au
dito
rs, a
nd e
xter
nal a
udito
rs a
re th
e co
rner
ston
es o
f the
fo
unda
tion
on w
hich
effe
ctiv
e or
gani
zatio
nal g
over
nanc
e is
bui
lt.
Vis
oko
ruko
vods
tvo,
Upr
avni
odb
or,
inte
rni
revi
zori
i va
njsk
i re
vizo
ri te
mel
jni
su
nosi
telji
uč
inko
vito
g or
gani
zaci
jsko
g up
ravl
janj
a.
319
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
corp
orat
e go
vern
ance
korp
orat
ivno
upr
avlja
nje
Rep
ortin
g sh
ould
als
o in
clud
e si
gnifi
cant
ris
k ex
posu
res
and
cont
rol
issu
es,
corp
orat
e go
vern
ance
iss
ues,
and
ot
her
mat
ters
nee
ded
or r
eque
sted
by
the
boar
d an
d se
nior
man
agem
ent.
Izvj
ešći
vanj
e ta
kođe
r tre
ba u
klju
čiva
ti pi
tanj
a zn
ačaj
ne
izlo
ženo
sti
rizik
u i
kont
rola
, pi
tanj
a ko
rpor
ativ
nog
upra
vlja
nja,
te
drug
e te
me
prem
a po
trebi
ili z
ahtje
vu
upra
ve i
viso
kog
ruko
vods
tva.
CO
SO
Kom
itet z
a sp
onzo
riran
je
orga
niza
cija
(CO
SO
)
The
IIA b
elie
ves
that
the
mos
t ef
fect
ive
inte
rnal
con
trol
guid
ance
ava
ilabl
e to
day
is t
he r
epor
t In
tern
al C
ontro
l In
tegr
ated
Fra
mew
ork,
pub
lishe
d in
199
2 an
d 19
94 b
y th
e C
omm
ittee
of
Spo
nsor
ing
Org
aniz
atio
ns (
CO
SO
) of
the
Tr
eadw
ay C
omm
issi
on.
IIA s
mat
ra d
a su
tren
utno
naj
pouz
dani
je s
mje
rnic
e za
in
tern
u re
vizi
ju s
adrž
ane
u iz
vješ
ću “
Inte
grira
ni o
kvir
inte
rnih
kon
trola
”, u
izda
nju
Kom
iteta
za
spon
zorir
anje
or
gani
zaci
ja (
CO
SO
) Tr
eadw
ay p
ovje
rens
tva
1992
. i
1994
.
CO
SO
con
trol f
ram
ewor
kC
OS
O k
ontro
lni o
kvir
The
follo
win
g ar
e so
me
cont
rol
elem
ents
of
a fra
ud
prev
entio
n pr
ogra
m p
rese
nted
with
in t
he C
OS
O c
ontro
l fra
mew
ork
as a
n ex
ampl
e.
Ovo
su
ne
ki
kont
roln
i el
emen
ti pr
ogra
ma
za
sprje
čava
nje
prije
vare
, pr
edst
avlje
ni u
okv
iru C
OS
O
kont
roln
og o
kvira
kao
prim
jer.
CO
SO
mod
elC
OS
O m
odel
Whi
le u
se o
f the
CO
SO
mod
el is
wid
ely
acce
pted
, it m
ay
be a
ppro
pria
te to
use
som
e ot
her r
ecog
nize
d an
d cr
edib
le
mod
el.
Iako
je
CO
SO
mod
el š
iroko
prih
vaće
n, m
ožda
je
potre
bno
koris
titi
neki
dru
gi p
rizna
ti i
vjer
odos
toja
n m
odel
.
CS
Ako
ntro
lno
sam
ovre
dnov
anje
(C
SA
)
Con
trol
self-
asse
ssm
ent
(CS
A)
met
hodo
logy
ca
n be
us
ed b
y m
anag
ers
and
inte
rnal
aud
itors
for
ass
essi
ng
the
adeq
uacy
of t
he o
rgan
izat
ion
s ris
k m
anag
emen
t and
co
ntro
l pro
cess
es.
Ruk
ovod
stvo
i
inte
rni
revi
zori
mog
u ko
ristit
i m
etod
olog
iju k
ontro
lnog
sam
ovre
dnov
anja
(C
SA
) za
vr
edno
vanj
e ad
ekva
tnos
ti pr
oces
a up
ravl
janj
a riz
ikom
i k
ontro
la o
rgan
izac
ije.
CS
A p
roce
sspr
oces
kon
troln
og
sam
ovre
dnov
anja
(CS
A)
The
wid
e va
riety
of a
ppro
ache
s us
ed fo
r C
SA
pro
cess
es
in
orga
niza
tions
re
flect
s th
e di
ffere
nces
in
in
dust
ry,
geog
raph
y, s
truct
ure,
org
aniz
atio
nal
cultu
re,
degr
ee o
f em
ploy
ee e
mpo
wer
men
t, do
min
ant
man
agem
ent
styl
e,
and
the
man
ner o
f for
mul
atin
g st
rate
gies
and
pol
icie
s.
Širo
k ra
spon
pr
istu
pa
koji
se
koris
te
za
proc
ese
kont
roln
og s
amov
redn
ovan
ja (C
SA
) u o
rgan
izac
ijam
a,
odra
žava
raz
like
ovis
no o
dje
latn
osti,
zem
ljopi
snom
po
loža
ju,
stru
ktur
i, or
gani
zaci
jsko
j ku
lturi,
st
upnj
u ov
lašt
enja
za
posl
enik
a,
prev
lada
vaju
ćem
st
ilu
upra
vlja
nja,
te n
ačin
u fo
rmul
iranj
a st
rate
gija
i po
litik
a.
320
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
CS
A p
rogr
ampr
ogra
m k
ontro
lnog
sa
mov
redn
ovan
ja (C
SA
)
Inte
rnal
aud
itors
can
util
ize
CS
A p
rogr
ams
for
gath
erin
g re
leva
nt in
form
atio
n ab
out r
isks
and
con
trols
, for
focu
sing
th
e au
dit
plan
on
high
ris
k, u
nusu
al a
reas
, an
d to
for
ge
grea
ter
colla
bora
tion
with
ope
ratin
g m
anag
ers
and
wor
k te
ams.
Inte
rni
revi
zori
mog
u ko
ristit
i pr
ogra
me
kont
roln
og
sam
ovre
dnov
anja
(C
SA
) za
prik
uplja
nje
rele
vant
nih
poda
taka
o ri
zici
ma
i kon
trola
ma,
u c
ilju
usm
jera
vanj
a re
vizi
jsko
g pl
ana
na
viso
koriz
ična
, ne
uobi
čaje
na
podr
učja
, te
ostv
ariv
anja
bol
je s
urad
nje
s op
erat
ivni
m
ruko
vods
tvom
i ra
dnim
sku
pina
ma.
cycl
e tim
etra
janj
e (r
adno
g) c
iklu
sa
Mon
itorin
g sh
ould
als
o in
clud
e on
goin
g m
easu
rem
ents
an
d an
alys
es o
f pe
rform
ance
met
rics
(e.g
., au
dit
plan
ac
com
plis
hmen
t, cy
cle
time,
reco
mm
enda
tions
acc
epte
d,
and
cust
omer
sat
isfa
ctio
n).
Pra
ćenj
e ta
kođe
r tre
ba u
klju
čiva
ti st
alna
mje
renj
a i
anal
ize
met
rika
učin
kovi
tost
i (np
r. os
tvar
ivan
je p
lana
re
vizi
je, t
raja
nje
radn
og c
iklu
sa, p
rihva
ćene
pre
poru
ke,
te z
adov
oljs
tvo
koris
nika
).
deta
iled
IS c
ontro
lde
taljn
e ko
ntro
le in
form
acijs
kih
sust
ava
Det
aile
d IS
con
trols
are
mad
e up
of
appl
icat
ion
cont
rols
pl
us t
hose
gen
eral
con
trols
not
incl
uded
in p
erva
sive
IS
co
ntro
ls.
Det
aljn
e ko
ntro
le i
nfor
mac
ijski
h su
stav
a sa
stoj
e se
od
apl
ikac
ijski
h ko
ntro
la t
e op
ćih
kont
rola
koj
e ni
su
uklju
čene
u
sveo
buhv
atne
ko
ntro
le
info
rmac
ijski
h su
stav
a.
DIP
obra
da d
okum
enat
a
For e
xam
ple,
aud
it ev
iden
ce p
roce
ssed
by
Ele
ctro
nic
Dat
a In
terc
hang
e (E
DI),
Doc
umen
t Im
age
Pro
cess
ing
(DIP
), an
d dy
nam
ic s
yste
ms
such
as
spre
adsh
eets
, may
not
be
retri
evab
le a
fter a
spe
cifie
d pe
riod
of ti
me
if ch
ange
s to
the
files
are
not
con
trolle
d or
the
files
are
not
bac
ked
up.
Uko
liko
ne
post
oji
adek
vatn
a ko
ntro
la
izm
jena
do
kum
enat
a ili
se
ne v
rši r
edov
ita r
ezer
vna
pohr
ana
dato
teka
, m
ože
doći
do
pote
škoć
a u
pris
tupu
do
revi
zijs
kih
doka
za k
oji s
e ob
rađu
ju
pom
oću
sust
ava
razm
jene
el
ektro
ničk
ih
poda
taka
(E
DI),
ob
rade
do
kum
enat
a (D
IP),
te
dina
mič
kih
sust
ava
popu
t pr
orač
unsk
ih ta
blic
a.
Dis
clos
ure
obja
vljiv
anje
; otk
rivan
jeIn
thes
e si
tuat
ions
, int
erna
l aud
itors
sho
uld
com
ply
with
the
disc
losu
re re
quire
men
ts o
f the
Inte
rnat
iona
l Sta
ndar
ds fo
r th
e P
rofe
ssio
nal P
ract
ice
of In
tern
al A
uditi
ng (S
tand
ards
).
U o
vakv
im s
ituac
ijam
a, in
tern
i rev
izor
i tre
baju
poš
tivat
i st
anda
rde
za o
bjav
ljiva
nje
rezu
ltata
rev
izije
pre
ma
Međ
unar
odni
m s
tand
ardi
ma
za p
rofe
sion
alnu
pra
ksu
inte
rne
revi
zije
(Sta
ndar
di).
321
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Doc
umen
t Im
age
Pro
cess
ing
obra
da d
okum
enat
a
For e
xam
ple,
aud
it ev
iden
ce p
roce
ssed
by
Ele
ctro
nic
Dat
a In
terc
hang
e (E
DI),
Doc
umen
t Im
age
Pro
cess
ing
(DIP
), an
d dy
nam
ic s
yste
ms
such
as
spre
adsh
eets
, may
not
be
retri
evab
le a
fter a
spe
cifie
d pe
riod
of ti
me
if ch
ange
s to
the
files
are
not
con
trolle
d or
the
files
are
not
bac
ked
up.
Uko
liko
ne
post
oji
adek
vatn
a ko
ntro
la
izm
jena
do
kum
enat
a ili
se
ne v
rši r
edov
ita r
ezer
vna
pohr
ana
dato
teka
, m
ože
doći
do
pote
škoć
a u
pris
tupu
do
revi
zijs
kih
doka
za k
oji s
e ob
rađu
ju s
pom
oću
sust
ava
razm
jene
el
ektro
ničk
ih
poda
taka
(E
DI),
ob
rade
do
kum
enat
a (D
IP),
te
dina
mič
kih
sust
ava
popu
t pr
orač
unsk
ih ta
blic
a.
e-co
mm
erce
eng
agem
ent
anga
žman
revi
zije
akt
ivno
sti e
-trg
ovin
e
The
chie
f aud
it ex
ecut
ive’
s (C
AE
’s) c
once
rns
in p
erfo
rmin
g an
e-c
omm
erce
eng
agem
ent r
elat
e to
the
com
pete
ncy
and
capa
city
of t
he in
tern
al a
udit
activ
ity.[P
ract
ice_
Adv
isor
ies_
com
plet
e_6_
12_2
007_
EN
G.d
oc]
Izra
žava
nje
zabr
inut
osti
glav
nog
revi
zora
u o
bavl
janj
u an
gažm
ana
revi
zije
e-
trgov
ine
odno
si
se
na
kom
pete
nciju
i sp
osob
nost
dje
latn
osti
inte
rne
revi
zije
.
e-co
mm
erce
risk
rizik
sus
tava
e-tr
govi
neTh
e e-
com
mer
ce ri
sk a
nd c
ontro
l env
ironm
ent i
s co
mpl
ex
and
evol
ving
.O
kruž
enje
rizi
ka i
kont
rola
sus
tava
e-tr
govi
ne s
lože
no
je i
nepr
esta
no s
e ra
zvija
.
e-co
mm
erce
ser
ver
posl
užite
lj su
stav
a e-
trgov
ine
Tool
s th
at
shou
ld
be
in
plac
e in
clud
e:
intru
sion
m
anag
emen
t (m
onito
ring
softw
are,
aut
omat
ic t
ime-
out,
and
trend
ana
lysi
s),
phys
ical
sec
urity
for
e-c
omm
erce
se
rver
s, c
hang
e co
ntro
ls, a
nd re
conc
iliat
ion.
Ala
ti ko
je
orga
niza
cija
tre
ba
osig
urat
i: ko
ntro
la
upad
a (p
rogr
amsk
a op
rem
a za
nad
zor,
auto
mat
sko
vrem
ensk
o is
klju
čiva
nje
(tim
e-ou
t) i a
naliz
a tre
ndov
a),
fizič
ka
sigu
rnos
t po
služ
itelja
e-
trgov
ine,
ko
ntro
le
izm
jena
i us
klađ
ivan
je.
ED
Iel
ektro
ničk
a ra
zmje
na p
odat
aka
(ED
I)
For e
xam
ple,
aud
it ev
iden
ce p
roce
ssed
by
Ele
ctro
nic
Dat
a In
terc
hang
e (E
DI),
Doc
umen
t Im
age
Pro
cess
ing
(DIP
), an
d dy
nam
ic s
yste
ms
such
as
spre
adsh
eets
, may
not
be
retri
evab
le a
fter a
spe
cifie
d pe
riod
of ti
me
if ch
ange
s to
the
files
are
not
con
trolle
d or
the
files
are
not
bac
ked
up.
Uko
liko
ne
post
oji
adek
vatn
a ko
ntro
la
izm
jena
do
kum
enat
a ili
se
ne v
rši r
edov
ita r
ezer
vna
pohr
ana
dato
teka
, m
ože
doći
do
pote
škoć
a u
pris
tupu
do
revi
zijs
kih
doka
za k
oji s
e ob
rađu
ju s
pom
oću
sust
ava
razm
jene
el
ektro
ničk
ih
poda
taka
(E
DI),
ob
rade
do
kum
enat
a (D
IP),
te
dina
mič
kih
sust
ava
popu
t pr
orač
unsk
ih ta
blic
a.
EH
&S
sust
av z
aštit
e ok
oliš
a, z
drav
lja i
sigu
rnos
ti na
radu
(EH
&S
)
Chi
ef
audi
t ex
ecut
ive
(CA
E)
shou
ld
incl
ude
the
envi
ronm
enta
l, he
alth
, an
d sa
fety
(E
H&
S)
risks
in
any
entit
y-w
ide
risk
man
agem
ent a
sses
smen
t and
ass
ess
the
activ
ities
in a
bal
ance
d m
anne
r re
lativ
e to
oth
er ty
pes
of
risk
asso
ciat
ed w
ith a
n en
tity
s o
pera
tions
.
Gla
vni
revi
zor
treba
ukl
juči
ti riz
ike
sust
ava
zašt
ite
okol
iša,
zdr
avlja
i si
gurn
osti
na ra
du u
sva
ku p
rocj
enu
rizik
a na
ra
zini
or
gani
zaci
je,
te
prav
ilno
ocije
niti
aktiv
nost
i u o
dnos
u na
dru
ge ti
pove
rizi
ka p
ovez
anog
s
aktiv
nost
ima
orga
niza
cije
.
322
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
EH
&S
aud
itor
revi
zor s
usta
va z
aštit
e ok
oliš
a,
zdra
vlja
i si
gurn
osti
na ra
du
(EH
&S
)
With
th
at
orga
niza
tiona
l pl
acem
ent,
EH
&S
au
dito
rs
coul
d be
una
ble
to m
aint
ain
thei
r in
depe
nden
ce,
whi
ch
is c
onsi
dere
d on
e of
the
prin
cipa
l re
quire
men
ts o
f an
ef
fect
ive
audi
t fun
ctio
n.
Uz
taka
v or
gani
zaci
jski
po
loža
j, re
vizo
ri su
stav
a za
štite
oko
lišta
, zd
ravl
ja i
sig
urno
sti
na r
adu
mog
u im
ati
pote
škoć
a u
održ
avan
ju n
ezav
isno
sti,
koja
se
smat
ra je
dnim
od
glav
nih
tem
elja
uči
nkov
ite f
unkc
ije
revi
zije
.
EH
&S
risk
rizik
sus
tava
zaš
tite
okol
iša,
zd
ravl
ja i
sigu
rnos
ti na
radu
(E
H&
S)
Chi
ef
audi
t ex
ecut
ive
(CA
E)
shou
ld
incl
ude
the
envi
ronm
enta
l, he
alth
, an
d sa
fety
(E
H&
S)
risks
in
any
entit
y-w
ide
risk
man
agem
ent a
sses
smen
t and
ass
ess
the
activ
ities
in a
bal
ance
d m
anne
r re
lativ
e to
oth
er ty
pes
of
risk
asso
ciat
ed w
ith a
n en
tity
s o
pera
tions
.
Gla
vni
revi
zor
treba
ukl
juči
ti riz
ike
sust
ava
zašt
ite
okol
iša,
zdr
avlja
i si
gurn
osti
na ra
du u
sva
ku p
rocj
enu
rizik
a na
ra
zini
or
gani
zaci
je,
te
prav
ilno
ocije
niti
aktiv
nost
i u o
dnos
u na
dru
ge ti
pove
rizi
ka p
ovez
anog
s
aktiv
nost
ima
orga
niza
cije
.
Ele
ctro
nic
Dat
a In
terc
hang
eel
ektro
ničk
a ra
zmje
na p
odat
aka
(ED
I)
For e
xam
ple,
aud
it ev
iden
ce p
roce
ssed
by
Ele
ctro
nic
Dat
a In
terc
hang
e (E
DI),
Doc
umen
t Im
age
Pro
cess
ing
(DIP
), an
d dy
nam
ic s
yste
ms
such
as
spre
adsh
eets
, may
not
be
retri
evab
le a
fter a
spe
cifie
d pe
riod
of ti
me
if ch
ange
s to
the
files
are
not
con
trolle
d or
the
files
are
not
bac
ked
up.
Uko
liko
ne
post
oji
adek
vatn
a ko
ntro
la
izm
jena
do
kum
enat
a ili
se
ne v
rši r
edov
ita r
ezer
vna
pohr
ana
dato
teka
, m
ože
doći
do
pote
škoć
a u
pris
tupu
do
revi
zijs
kih
doka
za k
oji s
e ob
rađu
ju s
pom
oću
sust
ava
razm
jene
el
ektro
ničk
ih
poda
taka
(E
DI),
ob
rade
do
kum
enat
a (D
IP),
te
dina
mič
kih
sust
ava
popu
t pr
orač
unsk
ih ta
blic
a.
enga
gem
ent
anga
žman
; pre
uzim
anje
oba
veze
; pr
euze
ta o
bave
za
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
cons
ider
atio
ns t
hat
may
be
nece
ssar
y in
per
form
ing
a co
nsul
ting
enga
gem
ent a
nd in
tern
al a
udito
rs s
houl
d ta
ke
extra
pre
caut
ions
to d
eter
min
e th
at m
anag
emen
t and
the
boar
d un
ders
tand
and
agr
ee w
ith th
e co
ncep
t, op
erat
ing
guid
elin
es,
and
com
mun
icat
ions
req
uire
d fo
r pe
rform
ing
cons
ultin
g se
rvic
es.
Ova
j Nap
utak
ne
sadr
ži s
va p
otre
bna
razm
atra
nja
u sv
ezi s
avje
tnič
kih
anga
žman
a i i
nter
ni re
vizo
ri m
oraj
u po
svet
iti p
oseb
nu p
ozor
nost
tom
e da
ruk
ovod
stvo
i
upra
va r
azum
iju i
odob
rava
ju k
once
pciju
, op
erat
ivne
sm
jern
ice
i pr
iopć
enja
po
trebn
a za
ob
avlja
nje
savj
etni
čkih
usl
uga.
enga
gem
ent a
ssig
nmen
tza
data
k an
gažm
ana
The
num
ber
and
expe
rienc
e le
vel o
f the
inte
rnal
aud
iting
st
aff
requ
ired
shou
ld b
e ba
sed
on a
n ev
alua
tion
of t
he
natu
re a
nd c
ompl
exity
of
the
enga
gem
ent
assi
gnm
ent,
time
cons
train
ts, a
nd a
vaila
ble
reso
urce
s.
Pot
reba
n br
oj
i ra
zina
is
kust
va
djel
atni
ka
inte
rne
revi
zije
treb
a se
zas
niva
ti na
ocj
eni p
rirod
e i s
lože
nost
i za
datk
a an
gažm
ana,
vr
emen
skih
og
rani
čenj
a i
dost
upni
h re
surs
a.
enga
gem
ent c
lient
klije
nt a
ngaž
man
a
Inte
rnal
au
dito
rs
shou
ld
have
th
e su
ppor
t of
se
nior
m
anag
emen
t an
d th
e bo
ard
so t
hat
they
can
gai
n th
e co
oper
atio
n of
eng
agem
ent c
lient
s an
d pe
rform
thei
r wor
k fre
e fro
m in
terfe
renc
e.
Inte
rni
revi
zori
treba
ju
imat
i po
tpor
u vi
soko
g ru
kovo
dstv
a i
upra
ve
u os
tvar
ivan
ju
sura
dnje
s
klije
ntim
a an
gažm
ana,
kak
o bi
mog
li ob
avlja
ti sv
oj
posa
o be
z om
etan
ja.
323
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
enga
gem
ent c
omm
unic
atio
nob
avije
st o
rezu
ltatim
a an
gažm
ana
The
resu
lts o
f in
tern
al a
udit
wor
k sh
ould
be
revi
ewed
be
fore
th
e re
late
d en
gage
men
t co
mm
unic
atio
ns
are
rele
ased
to
prov
ide
reas
onab
le a
ssur
ance
tha
t th
e w
ork
was
per
form
ed o
bjec
tivel
y.
Rez
ulta
te
inte
rne
revi
zije
po
trebn
o je
pr
egle
dati
prije
obj
avlji
vanj
a re
leva
ntne
oba
vije
sti o
rez
ulta
tima
anga
žman
a, k
ako
bi s
e os
igur
alo
razu
mno
uvj
eren
je
da je
pos
ao o
bavl
jen
uz p
otpu
nu o
bjek
tivno
st.
enga
gem
ent c
oncl
usio
nsza
klju
čci a
ngaž
man
aE
ngag
emen
t w
orki
ng p
aper
s sh
ould
be
com
plet
e an
d in
clud
e su
ppor
t for
eng
agem
ent c
oncl
usio
ns re
ache
d.R
adni
spi
si a
ngaž
man
a tre
baju
biti
pot
puni
i uk
ljuči
vati
potk
rjepl
juju
će d
okaz
e za
zak
ljučk
e an
gažm
ana.
enga
gem
ent f
inal
co
mm
unic
atio
nsza
klju
čna
obav
ijest
o re
zulta
tima
anga
žman
a
Alth
ough
the
for
mat
and
con
tent
of
the
enga
gem
ent
final
com
mun
icat
ions
may
var
y by
org
aniz
atio
n or
typ
e of
eng
agem
ent,
they
sho
uld
cont
ain,
at
a m
inim
um,
the
purp
ose,
sco
pe, a
nd re
sults
of t
he e
ngag
emen
t.
Iako
form
at i
sadr
žaj z
aklju
čne
obav
ijest
i o re
zulta
tima
anga
žman
a m
ogu
varir
ati z
avis
no o
d or
gani
zaci
je il
i tip
a an
gažm
ana,
sve
takv
e ob
avije
sti m
oraj
u sa
drža
vati
bare
m s
vrhu
, dje
lokr
ug i
rezu
ltate
ang
ažm
ana.
enga
gem
ent i
ssue
spr
oble
mi a
ngaž
man
aA
noth
er te
chni
que
is th
e re
view
of d
raft
enga
gem
ent is
sues
, ob
serv
atio
ns,
and
reco
mm
enda
tions
by
man
agem
ent
of
the
audi
ted
activ
ity.
Još
jedn
a od
teh
nika
je
preg
led
nacr
ta p
robl
ema,
pr
imje
daba
i
prep
oruk
a an
gažm
ana
od
stra
ne
ruko
vods
tva
djel
atno
sti n
ad k
ojom
se
prov
odi r
eviz
ija.
enga
gem
ent o
bjec
tive
cilj
anga
žman
a
Inte
rnal
aud
itors
sho
uld
be s
kille
d in
ora
l an
d w
ritte
n co
mm
unic
atio
ns s
o th
at t
hey
can
clea
rly a
nd e
ffect
ivel
y co
nvey
su
ch
mat
ters
as
en
gage
men
t ob
ject
ives
, ev
alua
tions
, con
clus
ions
, and
reco
mm
enda
tions
.
Inte
rni
revi
zori
mor
aju
imat
i do
bre
kom
unik
acijs
ke
vješ
tine
govo
ra
i pi
sanj
a,
kako
bi
m
ogli
jasn
o i
učin
kovi
to o
bjaš
njav
ati t
eme
popu
t cilj
eva
anga
žman
a,
proc
jena
, zak
ljuča
ka i
prep
oruk
a.
enga
gem
ent p
lan
plan
ang
ažm
ana
Dev
elop
an
audi
t pro
gram
, bud
get a
nd e
ngag
emen
t pla
n.R
azvi
ti pl
an re
vizi
je, p
rora
čun
i pla
n an
gažm
ana.
enga
gem
ent p
roce
dure
spo
stup
ci a
ngaž
man
aE
ngag
emen
t pr
oced
ures
ar
e th
e m
eans
to
at
tain
en
gage
men
t obj
ectiv
es.
Pos
tupc
i an
gažm
ana
su s
reds
tva
post
izan
ja c
iljev
a an
gažm
ana.
enga
gem
ent p
rogr
ampr
ogra
m a
ngaž
man
aP
rovi
ding
app
ropr
iate
ins
truct
ions
dur
ing
the
plan
ning
of
th
e en
gage
men
t an
d ap
prov
ing
the
enga
gem
ent
prog
ram
.
Pru
žanj
e od
gova
raju
ćih
napu
taka
u t
ijeku
pla
nira
nja
anga
žman
a i o
dobr
enje
pro
gram
a an
gažm
ana.
324
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
enga
gem
ent r
ecor
dspo
daci
ang
ažm
ana;
evi
denc
ija
anga
žman
a
Aud
itors
are
enc
oura
ged
to a
dopt
app
ropr
iate
rec
ord
rete
ntio
n po
licie
s an
d ad
dres
s re
late
d is
sues
, su
ch a
s ow
ners
hip
of c
onsu
lting
eng
agem
ent r
ecor
ds, i
n or
der
to
prot
ect t
he o
rgan
izat
ion
adeq
uate
ly a
nd to
avo
id p
oten
tial
mis
unde
rsta
ndin
gs in
volv
ing
requ
ests
for t
hese
reco
rds.
Rev
izor
ima
se
savj
etuj
e us
vaja
nje
odgo
vara
jući
h po
litik
a po
hran
e po
data
ka i
pos
veći
vanj
e po
zorn
osti
pove
zani
m t
emam
a, k
ao š
to s
u vl
asni
štvo
pod
atak
a sa
vjet
ničk
og a
ngaž
man
a, u
cilj
u ad
ekva
tne
zašt
ite
orga
niza
cije
i i
zbje
gava
nja
mog
ućih
nes
pora
zum
a u
svez
i zah
tjeva
za
tim p
odac
ima.
enga
gem
ent r
epor
tiz
vješ
će a
ngaž
man
aE
ngag
emen
t co
nclu
sion
s, if
incl
uded
in t
he e
ngag
emen
t re
port,
sho
uld
be c
lear
ly id
entif
ied
as s
uch.
Uko
liko
su u
klju
čeni
u iz
vješ
će a
ngaž
man
a, z
aklju
čci
anga
žman
a tre
baju
se
jasn
o pr
epoz
nati
kao
takv
i.
enga
gem
ent r
esul
tsre
zulta
ti an
gažm
ana
Nee
ds o
f m
anag
emen
t of
ficia
ls,
incl
udin
g th
e na
ture
, tim
ing,
and
com
mun
icat
ion
of e
ngag
emen
t res
ults
.P
otre
be r
ukov
odst
va,
uklju
čuju
ći p
rirod
u, v
rem
ensk
o pl
anira
nje
i prio
pćav
anje
rezu
ltata
ang
ažm
ana.
enga
gem
ent s
uper
visi
onna
dzor
pro
vedb
e an
gažm
ana
The
chie
f aud
it ex
ecut
ive
(CA
E) i
s re
spon
sibl
e fo
r ass
urin
g th
at a
ppro
pria
te e
ngag
emen
t sup
ervi
sion
is p
rovi
ded.
Gla
vni r
eviz
or z
aduž
en je
za
osig
uran
je o
dgov
araj
ućeg
na
dzor
a pr
oved
be a
ngaž
man
a.
enga
gem
ent t
echn
ique
ste
hnik
e pr
oved
be a
ngaž
man
aC
ompe
tent
info
rmat
ion
is r
elia
ble
and
the
best
atta
inab
le
thro
ugh
the
use
of a
ppro
pria
te e
ngag
emen
t tec
hniq
ues.
Kom
pete
ntne
inf
omac
ije s
u po
uzda
ne i
dob
ivaj
u se
pu
tem
ko
rište
nja
odgo
vara
jući
h te
hnik
a pr
oved
be
anga
žman
a.
enga
gem
ent w
ork
prov
edba
ang
ažm
ana
Suc
h as
sign
men
ts a
re p
resu
med
to
impa
ir ob
ject
ivity
, an
d ad
ditio
nal
cons
ider
atio
n sh
ould
be
exer
cise
d w
hen
supe
rvis
ing
the
enga
gem
ent
wor
k an
d co
mm
unic
atin
g en
gage
men
t res
ults
.
Sm
atra
se
da t
akvi
zad
atci
nar
ušav
aju
obje
ktiv
nost
, te
su
potre
bna
doda
tna
razm
atra
nja
u tij
eku
nadz
ora
prov
edbe
an
gažm
ana
i pr
iopć
avan
ja
rezu
ltata
an
gažm
ana.
enga
gem
ent w
ork
prog
ram
radn
i pro
gram
ang
ažm
ana
enga
gem
ent w
ork
sche
dule
radn
i ras
pore
d an
gažm
ana
Aud
it ac
tiviti
es w
here
a s
peci
aliz
ed s
kill
and
know
ledg
e ar
e re
quire
d su
ch a
s in
form
atio
n te
chno
logy
, st
atis
tics,
ta
xes,
lang
uage
tran
slat
ions
, or
to a
chie
ve th
e ob
ject
ives
in
the
enga
gem
ent w
ork
sche
dule
.
Rev
izijs
ke
aktiv
nost
i za
ko
je
su
su
potre
bne
spec
ijalis
tičke
vj
eštin
e i
znan
ja,
kao
što
su
info
rmac
ijska
teh
nlog
ija,
stat
istik
a, p
orez
ne u
slug
e,
jezi
čni p
rijev
odi,
ili z
a po
stiz
anje
cilj
eva
prem
a ra
dnom
ra
spor
edu
anga
žman
a.
ente
rpris
e ris
k m
anag
emen
tup
ravl
janj
e riz
ikom
pod
uzeć
aTo
ass
ess
fraud
ris
k, i
nter
nal
audi
tors
sho
uld
use
the
orga
niza
tion’
s en
terp
rise
risk
man
agem
ent
mod
el if
one
is
in u
se.
Za p
rocj
enu
rizik
a od
prij
evar
e, in
tern
i rev
izor
i tre
baju
ko
ristit
i mod
el u
prav
ljanj
a riz
ikom
org
aniz
acije
, uko
liko
taka
v po
stoj
i.
325
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
envi
ronm
enta
l aud
itre
vizi
ja z
aštit
e ok
oliš
a
In th
ose
inst
ance
s w
here
the
envi
ronm
enta
l aud
it fu
nctio
n re
ports
to s
omeo
ne o
ther
than
the
CA
E, t
he C
AE
sho
uld
offe
r to
rev
iew
the
aud
it pl
an a
nd t
he p
erfo
rman
ce o
f en
gage
men
ts.
U s
luča
jevi
ma
kada
fun
kcija
rev
izije
zaš
tite
okol
iša
nije
odg
ovor
na g
lavn
om re
vizo
ru, g
lavn
i rev
izor
treb
a po
nudi
ti us
luge
pre
gled
a re
vizi
jsko
g pl
ana
i uč
inka
an
gažm
ana.
envi
ronm
enta
l aud
it ch
ief
vodi
telj
revi
zije
zaš
tite
okol
iša
The
CA
E a
nd e
nviro
nmen
tal a
udit
chie
f ar
e in
sep
arat
e fu
nctio
nal u
nits
with
littl
e co
ntac
t with
eac
h ot
her.
Gla
vni
revi
zor
i vo
dite
lj re
vizi
je
zašt
ite
okol
iša
prip
adaj
u za
sebn
im
funk
cion
alni
m
jedi
nica
ma
bez
čest
og m
eđus
obno
g ko
ntak
ta.
envi
ronm
enta
l aud
it fu
nctio
nfu
nkci
ja re
vizi
je z
aštit
e ok
oliš
a
If th
e C
AE
find
s th
at th
e m
anag
emen
t of t
he E
H&
S r
isks
la
rgel
y de
pend
s on
an
en
viro
nmen
tal
audi
t fu
nctio
n,
the
CA
E
need
s to
co
nsid
er
the
impl
icat
ions
of
th
at
orga
niza
tiona
l stru
ctur
e an
d its
effe
cts
on o
pera
tions
and
th
e re
porti
ng m
echa
nism
s.
Uko
liko
utvr
di d
a up
ravl
janj
e riz
icim
a za
štite
oko
liša,
zd
ravl
ja
i za
štite
na
ra
du
u ve
likoj
m
jeri
zavi
si
od
funk
cije
re
vizi
je
zašt
ite
okol
iša,
gl
avni
re
vizo
r tre
ba u
zeti
u ob
zir
impl
ikac
ije t
akve
org
aniz
acijs
ke
stru
ktur
e i n
jezi
nog
utje
caja
na
aktiv
nost
i i m
ehan
izm
e od
govo
rnos
ti.
envi
ronm
enta
l aud
itors
revi
zori
zašt
ite o
koliš
aIn
tern
al a
udito
rs s
houl
d be
ale
rt to
the
pot
entia
l ris
ks
that
may
res
ult
from
the
org
aniz
atio
nal
plac
emen
t an
d re
porti
ng re
latio
nshi
ps o
f env
ironm
enta
l aud
itors
.
Inte
rni
revi
zori
mor
aju
spre
mno
uo
čava
ti m
oguć
e riz
ike
koji
potje
ču o
d or
gani
zaci
jsko
g po
loža
ja i
linija
od
govo
rnos
ti re
vizo
ra z
aštit
e ok
oliš
a.
Env
ironm
enta
l Pro
tect
ion
Age
ncy
Age
ncija
za
zašt
itu o
koliš
a (E
PA
)
Am
ong
the
risk
expo
sure
s th
at s
houl
d be
eva
luat
ed a
re:
orga
niza
tiona
l re
porti
ng s
truct
ures
; lik
elih
ood
of c
ausi
ng
envi
ronm
enta
l ha
rm,
fines
, an
d pe
nalti
es;
expe
nditu
res
man
date
d by
Env
ironm
enta
l Pro
tect
ion
Age
ncy
(EP
A)
or
othe
r gov
ernm
enta
l age
ncie
s; h
isto
ry o
f inju
ries a
nd d
eath
s;
reco
rd o
f los
ses
of c
usto
mer
s, a
nd e
piso
des
of n
egat
ive
publ
icity
and
loss
of p
ublic
imag
e an
d re
puta
tion.
Međ
u iz
lože
nost
i riz
iku
koje
je p
otre
bno
proc
ijeni
ti su
: or
gani
zaci
jska
st
rukt
ura
odgo
vorn
osti,
vj
eroj
atno
st
zaga
đenj
a ok
oliš
a, g
lobe
i k
azne
; tro
škov
i A
genc
ije
za z
aštit
u ok
oliš
a (E
PA
) ili
dru
gih
vlad
inih
age
ncija
; po
vije
st
povr
jeda
na
ra
du
i sm
rtnih
sl
učaj
eva;
ev
iden
cija
gub
itka
klije
nata
, te
slu
čaje
vi n
egat
ivno
g pu
blic
iteta
i gu
bitk
a ug
leda
u ja
vnos
ti.
envi
ronm
enta
l, he
alth
, and
sa
fety
risk
rizik
sus
tava
zaš
tite
okol
iša,
zd
ravl
ja i
sigu
rnos
ti na
radu
(E
H&
S)
Chi
ef
audi
t ex
ecut
ive
(CA
E)
shou
ld
incl
ude
the
envi
ronm
enta
l, he
alth
, an
d sa
fety
(E
H&
S)
risks
in
any
entit
y-w
ide
risk
man
agem
ent
asse
ssm
ent
and
asse
ss
the
activ
ities
in a
bal
ance
d m
anne
r rel
ativ
e to
oth
er ty
pes
of r
isk
asso
ciat
ed w
ith a
n en
tity
s o
pera
tions
.[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.doc
Gla
vni
revi
zor
treba
ukl
juči
ti riz
ike
sust
ava
zašt
ite
okol
iša,
zdr
avlja
i si
gurn
osti
na ra
du u
sva
ku p
rocj
enu
rizik
a na
ra
zini
or
gani
zaci
je,
te
prav
ilno
ocije
niti
aktiv
nost
i u o
dnos
u na
dru
ge ti
pove
rizi
ka p
ovez
anog
s
aktiv
nost
ima
orga
niza
cije
.
326
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
EP
AA
genc
ija z
a za
štitu
oko
liša
(EP
A)
Am
ong
the
risk
expo
sure
s th
at s
houl
d be
eva
luat
ed a
re:
orga
niza
tiona
l re
porti
ng s
truct
ures
; lik
elih
ood
of c
ausi
ng
envi
ronm
enta
l ha
rm,
fines
, an
d pe
nalti
es;
expe
nditu
res
man
date
d by
Env
ironm
enta
l Pro
tect
ion
Age
ncy
(EP
A)
or
othe
r gov
ernm
enta
l age
ncie
s; h
isto
ry o
f inju
ries a
nd d
eath
s;
reco
rd o
f los
ses
of c
usto
mer
s, a
nd e
piso
des
of n
egat
ive
publ
icity
and
loss
of p
ublic
imag
e an
d re
puta
tion.
Međ
u iz
lože
nost
i riz
iku
koje
je p
otre
bno
proc
ijeni
ti su
: or
gani
zaci
jska
st
rukt
ura
odgo
vorn
osti,
vj
eroj
atno
st
zaga
đenj
a ok
oliš
a, g
lobe
i k
azne
; tro
škov
i A
genc
ije
za z
aštit
u ok
oliš
a (E
PA
) ili
dru
gih
vlad
inih
age
ncija
; po
vije
st p
ovre
da n
a ra
du i s
mrtn
ih s
luča
jeva
; evi
denc
ija
gubi
tka
klije
nata
te
sluč
ajev
i neg
ativ
nog
publ
icite
ta i
gubi
tka
ugle
da u
javn
osti.
ethi
cal b
ehav
ior
etič
ko p
onaš
anje
Mon
itorin
g m
anag
emen
t s co
mpl
ianc
e w
ith th
e or
gani
zatio
n
s co
de o
f con
duct
and
ens
urin
g th
at e
thic
al p
olic
ies
and
othe
r pr
oced
ures
pro
mot
ing
ethi
cal
beha
vior
are
bei
ng
follo
wed
; an
impo
rtant
fac
tor
in e
stab
lishi
ng a
n ef
fect
ive
ethi
cal
cultu
re
in
the
orga
niza
tion
is
whe
n m
embe
rs
of s
enio
r m
anag
emen
t se
t a
good
exa
mpl
e of
eth
ical
be
havi
or a
nd p
rovi
de o
pen
and
truth
ful c
omm
unic
atio
ns to
em
ploy
ees,
the
boar
d, a
nd o
utsi
de s
take
hold
ers.
Pra
ćenj
e prid
ržav
anja
kode
ksa p
onaš
anja
orga
niza
cije
, te
etič
kih
polit
ika
i dru
gih
proc
edur
a ko
je p
rom
iču
etič
ko
pona
šanj
e; v
ažan
čim
beni
k u
odre
điva
nju
učin
kovi
te
etič
ke k
ultu
re u
org
aniz
aciji
je p
rimje
ran
uzor
etič
kog
pona
šanj
a vi
soko
g ru
kovo
dstv
a, te
pru
žanj
e ot
vore
nih
i ist
initi
h sa
opće
nja
zapo
slen
icim
a, u
prav
i i v
anjs
kim
no
site
ljim
a in
tere
sa.
ethi
cset
ika;
etič
ko p
onaš
anje
Com
pani
es
mus
t es
tabl
ish
an
appr
opria
te
cont
rol
envi
ronm
ent
that
inc
lude
s: A
cod
e of
con
duct
, et
hics
po
licy,
or
fraud
pol
icy
to s
et t
he a
ppro
pria
te t
one
at t
he
top.
Eth
ics
and
whi
stle
blow
er h
otlin
e pr
ogra
ms
to r
epor
t co
ncer
ns.
Pod
uzeć
a m
oraj
u ut
vrdi
ti od
gova
raju
će
kont
roln
o ok
ruže
nje
koje
ukl
juču
je:
kode
ks p
onaš
anja
, et
ičku
po
litik
u ili
pol
itiku
za
sprje
čava
nje
prije
vara
, u
cilju
od
ređi
vanj
a et
ičko
g oz
račj
a po
duze
ća o
d vr
ha p
rem
a dn
u. P
rogr
ami e
tičko
g po
naša
nja
i tel
efon
skih
lini
ja z
a do
javu
slu
čaje
va p
rijev
ara.
ethi
cs a
dvoc
ate
zago
vorn
ik e
tičko
g po
naša
nja
Bec
ause
of
the
com
plex
ity a
nd d
ispe
rsio
n of
dec
isio
n-m
akin
g pr
oces
ses
in m
ost
ente
rpris
es,
each
ind
ivid
ual
shou
ld b
e en
cour
aged
to b
e an
eth
ics
advo
cate
, whe
ther
th
e ro
le
is
dele
gate
d of
ficia
lly
or
mer
ely
conv
eyed
in
form
ally
.
Rad
i sl
ožen
osti
i ra
sprš
enos
ti pr
oces
a do
noše
nja
odlu
ka u
već
ini
podu
zeća
, po
trebn
o je
pot
icat
i sv
e za
posl
enik
e da
bud
u za
govo
rnic
i etič
nog
pona
šanj
a,
bez
obzi
ra j
e li
im t
a ul
oga
dodi
jelje
na s
lužb
eno
ili
nesl
užbe
no.
327
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
ethi
cs c
ultu
reet
ička
kul
tura
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es t
hat
may
be
nece
ssar
y fo
r a
com
preh
ensi
ve
assu
ranc
e or
co
nsul
ting
enga
gem
ent
rela
ted
to
an
orga
niza
tion’
s et
hics
cul
ture
.
Ova
j N
aput
ak n
e sa
drži
sve
pos
tupk
e po
trebn
e za
sv
eobu
hvat
ne a
ngaž
man
e s
izra
žava
njem
uvj
eren
ja
ili
anga
žman
e sa
vjet
ništ
va
u sv
ezi
etič
ke
kultu
re
orga
niza
cije
exce
ptio
n re
port
izva
nred
no iz
vješ
će
Exa
mpl
es
incl
ude
the
com
pute
rized
m
atch
ing
of
docu
men
ts,
the
chec
king
and
sig
ning
of
a co
mpu
ter
gene
rate
d ch
eck
and
the
revi
ew b
y se
nior
man
agem
ent
of e
xcep
tion
repo
rts.
Prim
jeri
uklju
čuju
usp
ored
bu d
okum
enat
a pr
imje
nom
ra
čuna
la,
preg
led
i po
tpis
ivan
je p
rovj
era
prov
eden
ih
prim
jeno
m r
ačun
ala,
te
preg
led
izva
nred
nih
izvj
ešća
za
vis
oko
ruko
vods
tvo.
exec
utiv
e m
anag
emen
tiz
vršn
o ru
kovo
dstv
oIn
som
e si
tuat
ions
the
aud
itor
s c
once
rns
shou
ld a
lso
be c
omm
unic
ated
to
exec
utiv
e m
anag
emen
t, th
e au
dit
com
mitt
ee, a
nd/o
r the
boa
rd o
f dire
ctor
s.
U n
ekim
situ
acija
ma,
rev
izor
treb
a iz
razi
ti za
brin
utos
t iz
vršn
om
ruko
vods
tvu
i re
vizi
jsko
m
vije
ću,
i/ili
Upr
avno
m o
dbor
u.
expe
cted
err
oroč
ekiv
ana
pogr
ješk
a
Whe
n de
term
inin
g th
e ex
pect
ed e
rror
in a
pop
ulat
ion,
the
audi
tor s
houl
d co
nsid
er m
atte
rs a
s er
ror l
evel
s id
entif
ied
in
prev
ious
aud
its, c
hang
es in
the
orga
niza
tion
s pr
oced
ures
an
d ev
iden
ce a
vaila
ble
from
an
inte
rnal
con
trol e
valu
atio
n an
d re
sults
from
ana
lytic
al re
view
pro
cedu
res.
Pril
ikom
odr
eđiv
anja
oče
kiva
ne p
ogre
ške
u od
ređe
noj
popu
laci
ji, re
vizo
r tre
ba u
zeti
u ob
zir r
azin
e po
grje
šaka
iz
pr
etho
dnih
re
vizi
ja,
prom
jene
u
proc
edur
ama
orga
niza
cije
, dok
aze
koji
potk
rjepl
juju
ocj
enu
inte
rnih
ko
ntro
la, t
e re
zulta
te p
ostu
paka
ana
litič
kog
preg
leda
.
expe
nditu
res
trošk
ovi;
rash
odi;
izda
ci
Org
aniz
atio
ns s
houl
d id
entif
y an
d as
sess
fra
ud-r
elat
ed
risks
, in
clud
ing
asse
ssin
g th
e po
tent
ial
for
fraud
ulen
t fin
anci
al
repo
rting
, as
set
mis
appr
opria
tions
, im
prop
er
rece
ipts
and
exp
endi
ture
s, o
r fin
anci
al m
isco
nduc
t by
m
anag
emen
t and
oth
ers.
Org
aniz
acije
tre
baju
pr
epoz
nati
i oc
ijeni
ti riz
ike
pove
zane
s
prije
vara
ma,
uk
ljuču
jući
oc
jenu
vj
eroj
atno
sti
za p
rijev
arno
fin
anci
jsko
izv
ješć
ivan
je,
pron
evje
ru i
mov
ine,
net
očno
st r
ačun
a ili
tro
škov
a,
ili n
ezak
onito
pon
ašan
je u
sve
zi f
inan
cija
od
stra
ne
ruko
vods
tva
i dru
gih.
exte
rnal
ass
essm
ent p
roce
sspr
oces
van
jsko
g vr
edno
vanj
aTh
e re
view
tea
m s
houl
d co
nsis
t of
ind
ivid
uals
who
are
co
mpe
tent
in th
e pr
ofes
sion
al p
ract
ice
of in
tern
al a
uditi
ng
and
the
exte
rnal
ass
essm
ent p
roce
ss.
Rev
izijs
ki t
im t
reba
se
sast
ojat
i od
poj
edin
aca
sa
stru
čnim
poz
nava
njem
pra
kse
inte
rne
revi
zije
, ka
o i
proc
esa
vanj
skog
vre
dnov
anja
.
328
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
exte
rnal
aud
itva
njsk
a re
vizi
ja
CA
Es
shou
ld a
lso
cons
ider
the
ir re
latio
nshi
ps w
ith o
ther
co
ntro
l an
d m
onito
ring
func
tions
(r
isk
man
agem
ent,
com
plia
nce,
se
curit
y,
lega
l, et
hics
, en
viro
nmen
tal,
exte
rnal
aud
it) a
nd fa
cilit
ate
the
repo
rting
of m
ater
ial r
isk
and
cont
rol i
ssue
s to
the
audi
t com
mitt
ee.
Gla
vni
revi
zori
tako
đer
treba
ju u
zeti
u ob
zir
odno
se
inte
rne
revi
zije
s
drug
im
kont
roln
im
i na
dzor
nim
fu
nkci
jam
a (u
prav
ljanj
e riz
ikom
, po
štiv
anje
zak
onsk
e re
gula
tive,
sig
urno
st,
prav
na s
lužb
a, e
tika,
zaš
tita
okol
iša,
van
jska
rev
izija
), te
pom
oći
u iz
vješ
ćiva
nju
revi
zijs
kog
vije
ća
o m
ater
ijaln
im
pita
njim
a riz
ika
i ko
ntro
la.
exte
rnal
aud
it se
rvic
esus
luge
van
jske
revi
zije
Nat
ure
of t
his
Pra
ctic
e A
dvis
ory:
The
fol
low
ing
guid
ance
sh
ould
be
cons
ider
ed b
y ch
ief
audi
t ex
ecut
ives
(C
AE
s)
whe
n re
ques
ted
or a
ssig
ned
resp
onsi
bilit
y fo
r ac
quis
ition
of
ext
erna
l aud
it se
rvic
es.
Prir
oda
ovog
N
aput
ka
za
prak
su
inte
rne
revi
zije
: gl
avni
revi
zori
treba
ju u
zeti
u ob
zir s
ljede
će p
rijed
loge
pr
iliko
m p
rihva
ćanj
a za
duže
nja
za n
aruč
ivan
je u
slug
a va
njsk
e re
vizi
je.
exte
rnal
aud
itor
vanj
ski r
eviz
or
The
audi
t m
ay b
e pe
rform
ed b
y a
cont
ract
ed,
third
-pa
rty e
ntity
, by
exte
rnal
aud
itors
, or
by th
e in
tern
al a
udit
func
tion.
[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.doc
]
Rev
iziju
m
ogu
obav
ljati
ugov
orne
st
rank
e,
treće
os
obe,
van
jski
revi
zori
ili in
tern
i rev
izor
i.
exte
rnal
qua
lity
asse
ssm
ent
vanj
sko
vred
nova
nje
kval
itete
This
pr
ogra
m
incl
udes
pe
riodi
c in
tern
al
and
exte
rnal
qu
ality
ass
essm
ents
and
ong
oing
inte
rnal
mon
itorin
g.O
vaj p
rogr
am u
klju
čuje
pov
rem
ena
inte
rna
i van
jska
vr
edno
vanj
a kv
alite
te te
sta
lan
inte
rni n
adzo
r.
exte
rnal
revi
ewva
njsk
a re
vizi
jaW
hile
the
re m
ay b
e ci
rcum
stan
ces
whe
n a
full
exte
rnal
re
view
is n
ot d
eem
ed a
ppro
pria
te o
r nec
essa
ry.
Iako
mog
u po
stoj
ati o
koln
osti
u ko
jima
se s
mat
ra d
a po
tpun
a va
njsk
a re
vizi
ja n
ije p
rikla
dna
ili p
otre
bna.
Ext
erna
l Ser
vice
Pro
vide
rva
njsk
i pru
žate
lj us
luge
exte
rnal
sta
keho
lder
sva
njsk
i nos
itelji
inte
resa
Typi
cally
, th
e ke
y st
akeh
olde
rs
(cus
tom
ers)
fo
r th
e in
tern
al a
udit
activ
ity a
re d
ivid
ed in
to in
tern
al a
nd e
xter
nal
stak
ehol
ders
.
Gla
vni n
osite
lji in
tere
sa (
klije
nti)
za a
ktiv
nost
inte
rne
revi
zije
obi
čno
se d
ijele
na
inte
rne
i van
jske
nos
itelje
in
tere
sa.
faci
litat
orfa
cilit
ator
This
for
mat
is d
iffer
ent
than
the
tw
o ab
ove
beca
use
the
faci
litat
or id
entif
ies
the
key
risks
and
con
trols
bef
ore
the
begi
nnin
g of
the
wor
ksho
p.
Ova
j se
form
at ra
zlik
uje
za ta
dva
slu
čaja
jer f
acili
tato
r pr
epoz
naje
gl
avne
riz
ike
i ko
ntro
le
prije
po
četk
a ra
dion
ice.
329
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
final
eng
agem
ent
com
mun
icat
ion
zakl
jučn
a ob
avije
st o
rezu
ltatim
a an
gažm
ana
The
final
eng
agem
ent
com
mun
icat
ion
form
at s
houl
d be
co
nsid
ered
, sin
ce p
rope
r pl
anni
ng a
t thi
s st
age
faci
litat
es
prep
arin
g th
e fin
al e
ngag
emen
t com
mun
icat
ion.
Pot
rebn
o je
ra
zmot
riti
form
at
zakl
jučn
e ob
avije
sti
o re
zulta
tima
anga
žman
a je
r pr
aviln
o pl
anira
nje
u ov
oj f
azi
olak
šava
prip
rem
u za
klju
čne
obav
ijest
i o
rezu
ltatim
a an
gažm
ana.
final
eng
agem
ent
com
mun
icat
ion
form
atfo
rmat
zak
ljučn
e ob
avije
sti o
re
zulta
tima
anga
žman
a
The
final
eng
agem
ent
com
mun
icat
ion
form
at s
houl
d be
co
nsid
ered
, sin
ce p
rope
r pl
anni
ng a
t thi
s st
age
faci
litat
es
prep
arin
g th
e fin
al e
ngag
emen
t com
mun
icat
ion.
Pot
rebn
o je
ra
zmot
riti
form
at
zakl
jučn
e ob
avije
sti
o re
zulta
tima
anga
žman
a je
r pr
aviln
o pl
anira
nje
u ov
oj f
azi
olak
šava
prip
rem
u za
klju
čne
obav
ijest
i o
rezu
ltatim
a an
gažm
ana.
finan
cial
man
agem
ent s
yste
ms
sust
avi u
prav
ljanj
a fin
anci
jam
a;
sust
avi f
inan
cijs
kog
upra
vlja
nja
Man
agem
ent s
houl
d ha
ve a
pro
cess
in p
lace
to a
ddre
ss th
e fo
llow
ing
pote
ntia
l con
ditio
ns: I
nade
quac
ies
in in
terfa
cing
be
twee
n e-
com
mer
ce
and
finan
cial
m
anag
emen
t sy
stem
s.
Ruk
ovod
stvo
tre
ba u
stan
oviti
pro
ces
za r
ješa
vanj
e sl
jede
ćih
situ
acija
: ne
dost
aci u
suč
elja
vanj
u su
stav
a e-
trgov
ine
i fin
anci
jsko
g up
ravl
janj
a.
finan
cial
man
ager
sfin
anci
jsko
ruko
vods
tvo
Rep
rese
ntat
ives
from
key
are
as o
f the
org
aniz
atio
n sh
ould
be
rep
rese
nted
on
the
com
mitt
ee, i
nclu
ding
key
fina
ncia
l m
anag
ers,
lega
l cou
nsel
, ris
k m
anag
emen
t, in
tern
al a
udit,
an
d an
y ar
ea p
rovi
ding
inp
ut o
r da
ta f
or t
he r
egul
ator
y fil
ings
and
dis
clos
ures
.
U
vije
ću
treba
ju
biti
zast
uplje
ni
pred
stav
nici
ru
kovo
dstv
a iz
gl
avni
h po
druč
ja
orga
niza
cije
, uk
ljuču
jući
fin
anci
je,
prav
no s
avje
tniš
tvo,
upr
avlja
nje
rizik
om, i
nter
nu re
vizi
ju, t
e sv
ako
podr
učje
koj
e pr
uža
poda
tke
za s
vrhe
pod
noše
nja
regu
lato
rnih
izvj
ešća
i pr
iopć
avan
ja.
finan
cial
offi
cer
finan
cijs
ki d
irekt
or
The
Sar
bane
s-O
xley
A
ct
enac
ted
swee
ping
re
form
re
quiri
ng
addi
tiona
l di
sclo
sure
s an
d ce
rtific
atio
ns
of
finan
cial
sta
tem
ents
by
prin
cipa
l exe
cutiv
e an
d fin
anci
al
offic
ers.
Zako
n S
arba
nes-
Oxl
ey p
rove
o je
tem
eljn
u re
form
u u
oblik
u za
htje
va z
a do
datn
im p
riopć
enjim
a i p
otvr
dam
a fin
anci
jski
h iz
vješ
ća o
d st
rane
gla
vnog
izv
ršno
g i
finan
cijs
kih
dire
ktor
a.
Fina
ncia
l Rep
ortin
g C
ounc
ilV
ijeće
za
finan
cijs
ko iz
vješ
ćiva
nje
This
ris
k is
rai
sed
in t
he J
anua
ry 2
003
Sm
ith R
epor
t on
Aud
it C
omm
ittee
s an
d C
ombi
ned
Cod
e G
uida
nce,
ap
poin
ted
by t
he F
inan
cial
Rep
ortin
g C
ounc
il, a
nd i
s ad
dres
sed
in g
uida
nce
publ
ishe
d by
IC
AE
W (
Inst
itute
of
Cha
rtere
d A
ccou
ntan
ts i
n E
ngla
nd a
nd W
ales
), am
ong
othe
rs.
Ova
j riz
ik j
e, i
zmeđ
u os
talo
g, p
repo
znat
u s
iječn
ju
2003
., u
Sm
ithov
om iz
vješ
ću p
od n
aziv
om “R
eviz
ijska
vi
jeća
i sm
jern
ice
za p
rove
dbu
Kom
bini
rano
g ko
deks
a”
Vije
ća z
a fin
anci
jsko
izvj
ešći
vanj
e, t
e u
smje
rnic
ama
Inst
ituta
Ovl
ašte
nih
raču
novo
đa E
ngle
ske
i Wal
esa)
.
330
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
finan
cial
repo
rting
pro
cess
proc
es fi
nanc
ijsko
g iz
vješ
ćiva
nja
This
P
ract
ice
Adv
isor
y fo
cuse
s on
in
tern
al
audi
tor
rela
tions
hips
with
sen
ior
man
agem
ent
and
the
exte
rnal
au
dito
r reg
ardi
ng th
e fin
anci
al re
porti
ng p
roce
ss.
Ova
j Nap
utak
za
prak
su in
tern
e re
vizi
je u
smje
ren
je
na o
dnos
e in
tern
ih r
eviz
ora
s vi
soki
m r
ukov
odst
vom
i
vanj
skim
rev
izor
ima
u sv
ezi
proc
esa
finan
cijs
kog
izvj
ešći
vanj
a.
finan
cial
sta
tem
ent
finan
cijs
ko iz
vješ
će
The
resu
lts o
f a fr
aud
inve
stig
atio
n m
ay in
dica
te th
at fr
aud
may
hav
e ha
d a
prev
ious
ly u
ndis
cove
red
adve
rse
effe
ct
on t
he o
rgan
izat
ion
finan
cial
pos
ition
and
its
oper
atio
nal
resu
lts fo
r one
or m
ore
year
s fo
r whi
ch fi
nanc
ial s
tate
men
ts
have
alre
ady
been
issu
ed.
Rez
ulta
ti is
trage
pr
ijeva
re
mog
u po
kaza
ti da
je
pr
ijeva
ra
imal
a pr
etho
dno
neot
kriv
en
nega
tivan
uč
inak
na
finan
cijs
ki p
olož
aj o
rgan
izac
ije i
rez
ulta
te
posl
ovan
ja, u
tije
ku je
dne
ili v
iše
godi
na z
a ko
je s
u ve
ć bi
la iz
dana
fina
ncijs
ka iz
vješ
ća.
fixed
inte
rval
sam
ple
uzor
ak fi
ksno
g in
terv
ala
For s
elec
tion
on q
uant
itativ
e fie
lds,
com
mon
met
hods
are
: R
ando
m S
ampl
e (s
tatis
tical
sam
ple
on m
onet
ary
units
), Fi
xed
Inte
rval
Sam
ple
(sta
tistic
al s
ampl
e us
ing
a fix
ed
inte
rval
), C
ell
Sam
ple
(sta
tistic
al s
ampl
e us
ing
rand
om
sele
ctio
n in
an
inte
rval
).
Uob
ičaj
ene
met
ode
za o
dabi
r kv
antit
ativ
nih
polja
su:
sl
učaj
ni u
zora
k (s
tatis
tički
uzo
rak
novč
anih
jedi
nica
), uz
orak
fiks
nog
inte
rval
a (s
tatis
tički
uzo
rak
koji
koris
ti fik
sni i
nter
val),
sta
ničn
i uzo
rak
(sta
tistič
ki u
zora
k ko
ji ko
risti
sluč
ajan
oda
bir u
nuta
r nek
og in
terv
ala)
.
flow
char
tsdi
jagr
ami t
oka
The
docu
men
t C
AA
Ts t
o be
use
d, i
nclu
ding
obj
ectiv
es,
high
-leve
l flo
wch
arts
, and
run.
Rač
unal
ne re
vizi
jske
tehn
ike
koje
je p
otre
bno
koris
titi,
uklju
čuju
ći c
iljev
e i v
isok
oraz
insk
e di
jagr
ame
toka
.
follo
w-u
p pr
oces
spr
oces
pra
ćenj
a i k
ontro
leD
escr
iptio
n of
the
int
erna
l au
ditin
g ac
tivity
s
repo
rting
pr
oced
ures
and
follo
w-u
p pr
oces
s.O
pis
post
upak
a iz
vješ
ćiva
nja
i pr
oces
a pr
aćen
ja i
ko
ntro
le d
jela
tnos
ti in
tern
e re
vizi
je.
fram
ewor
kok
vir
For
train
ing
sess
ions
, to
fac
ilita
te t
he o
rder
ly f
low
of
wor
ksho
p di
scus
sion
s an
d as
a c
heck
on
the
com
plet
enes
s of
the
ove
rall
proc
ess,
org
aniz
atio
ns o
ften
use
a co
ntro
l fra
mew
ork
such
as
the
CO
SO
and
CO
CO
mod
els.
Pril
ikom
pla
nira
nja
treni
nga,
u c
ilju
omog
ućav
anja
pr
aviln
og
tijek
a ra
dion
ički
h di
skus
ija,
te
prov
jere
cj
elov
itost
i či
tavo
ga
proc
esa,
or
gani
zaci
je
čest
o ko
riste
mod
ele
kont
roln
ih o
kvira
kao
što
su
CO
SO
i C
OC
O.
fraud
prije
vara
; zlo
upor
aba
Out
side
serv
ice
prov
ider
s inc
lude
, am
ong
othe
rs, a
ctua
ries,
ac
coun
tant
s,
appr
aise
rs,
envi
ronm
enta
l sp
ecia
lists
, fra
ud
inve
stig
ator
s,
law
yers
, en
gine
ers,
ge
olog
ists
, se
curit
y sp
ecia
lists
, st
atis
ticia
ns,
info
rmat
ion
tech
nolo
gy
spec
ialis
ts, t
he o
rgan
izat
ion
s e
xter
nal a
udito
rs, a
nd o
ther
au
ditin
g or
gani
zatio
ns.
Van
jski
pru
žate
lji u
slug
a, u
z os
talo
, ukl
juču
ju a
ktua
re,
raču
novo
đe, p
rocj
enite
lje, s
tručn
jake
za za
štitu
oko
liša,
is
traži
telje
prij
evar
a, o
dvje
tnik
e, i
nžen
jere
, ge
olog
e,
stru
čnja
ke z
a si
gurn
ost,
stat
istič
are,
stru
čnja
ke z
a in
form
acijs
ku t
ehno
logi
ju,
vanj
ske
revi
zore
, te
dru
ge
revi
zijs
ke tv
rtke.
331
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
fraud
aud
itre
vizi
ja p
rijev
are
Ass
ess
aspe
cts
of
the
cont
rol
envi
ronm
ent,
cond
uct
proa
ctiv
e fra
ud a
udits
and
inv
estig
atio
ns,
com
mun
icat
e re
sults
of f
raud
aud
its, a
nd p
rovi
de s
uppo
rt fo
r rem
edia
tion
effo
rts.
Oci
jeni
ti as
pekt
e ko
ntro
lnog
ok
ruže
nja,
pr
oakt
ivno
pr
oves
ti is
trage
i uvi
de u
prij
evar
e, p
riopć
iti re
zulta
te ti
h is
traga
, te
podr
žati
napo
re z
a is
prav
ljanj
em s
ituac
ije.
fraud
indi
cato
rspo
kaza
telji
prij
evar
e
Ass
ess m
onito
ring
activ
ities
and
rela
ted
com
pute
r sof
twar
e;
cond
uct i
nves
tigat
ions
; sup
port
the
deve
lopm
ent o
f fra
ud
indi
cato
rs; a
nd h
ire a
nd tr
ain
empl
oyee
s so
they
can
hav
e th
e ap
prop
riate
frau
d au
dit o
r inv
estig
ativ
e ex
perie
nce.
Oci
jeni
ti ak
tivno
sti
nadz
ora
i po
veza
nu p
rogr
amsk
u op
rem
u; p
rove
sti i
stra
ge;
podr
žati
razv
oj p
okaz
atel
ja
prije
vare
; te
pr
oves
ti za
pošl
java
nje
i iz
obra
zbu
zapo
slen
ika
u ci
lju s
tjeca
nja
odgo
vara
juće
g is
kust
va
u re
vizi
ji pr
ijeva
re i
istra
žnim
pos
tupc
ima.
fraud
inve
stig
atio
nis
traga
prij
evar
e
This
pra
ctic
e ad
viso
ry s
houl
d be
rea
d in
con
junc
tion
with
P
A12
10.A
2-2,
“Aud
iibili
ties
Rel
atin
g to
Fra
ud In
vest
igat
ion,
R
epor
ting,
R
esol
utio
n,
and
Com
mun
icat
ion.
”[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.doc
]
Ova
j N
aput
ak z
a pr
aksu
int
erne
rev
izije
pot
rebn
o je
tum
ačiti
zaj
edno
s P
A12
10.A
2-2
“Oči
tova
nja
u sv
ezi
istra
ge
prije
vare
, iz
vješ
ćiva
nja,
ra
zrje
šenj
a i
prio
pćav
anja
”.
fraud
pol
icy
polit
ika
za s
prje
čava
nje
prije
vare
Com
pani
es
mus
t es
tabl
ish
an
appr
opria
te
cont
rol
envi
ronm
ent
that
inc
lude
s: A
cod
e of
con
duct
, et
hics
po
licy,
or
fraud
pol
icy
to s
et t
he a
ppro
pria
te t
one
at t
he
top.
Pod
uzeć
a m
oraj
u ut
vrdi
ti od
gova
raju
će
kont
roln
o ok
ruže
nje
koje
ukl
juču
je:
kode
ks p
onaš
anja
, et
ičku
po
litik
u ili
pol
itiku
za
sprje
čava
nje
prije
vare
, u
cilju
od
ređi
vanj
a et
ičko
g oz
račj
a po
duze
ća o
d vr
ha p
rem
a dn
u.
fraud
pre
vent
ion
sprje
čava
nje
prije
vare
Frau
d pr
even
tion
invo
lves
th
ose
actio
ns
take
n to
di
scou
rage
th
e co
mm
issi
on
of
fraud
an
d lim
it fra
ud
expo
sure
whe
n it
occu
rs.
Spr
ječa
vanj
e pr
ijeva
re
uklju
čuje
ko
rake
po
duze
te
u ci
lju
onem
oguć
avan
ja
prije
vare
, te
og
rani
čenj
a iz
lože
nost
i u s
luča
ju p
rijev
are.
fraud
repo
rting
izvj
ešći
vanj
e o
prije
vari
Frau
d re
porti
ng c
onsi
sts
of t
he v
ario
us o
ral
or w
ritte
n,
inte
rim o
r fin
al c
omm
unic
atio
ns t
o se
nior
man
agem
ent
and/
or t
he b
oard
of
dire
ctor
s re
gard
ing
the
stat
us a
nd
resu
lts o
f fra
ud in
vest
igat
ions
.
Izvj
ešći
vanj
e o
prije
vari
sast
oji s
e od
razl
ičiti
h ve
rbal
nih
ili p
isan
ih, p
rivre
men
ih il
i zak
ljučn
ih iz
vješ
ća v
isok
om
ruko
vods
tvu
i/ili
Upr
avno
m o
dbor
u u
svez
i st
atus
a i
rezu
ltata
istra
ge p
rijev
are.
fraud
risk
rizik
prij
evar
eA
ll or
gani
zatio
ns a
re e
xpos
ed to
a d
egre
e of
frau
d ris
k in
an
y pr
oces
s w
here
hum
an in
put i
s re
quire
d.
Sve
su
orga
niza
cije
do
odre
đeno
g st
upnj
a iz
lože
ne
rizik
u pr
ijeva
re u
sva
kom
pro
cesu
gdj
e je
pot
rebn
o lju
dsko
sud
jelo
vanj
e.
332
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
fraud
risk
ass
essm
ent
ocje
na ri
zika
prij
evar
e
Eva
luat
e m
anag
emen
t’s
fraud
ris
k as
sess
men
t, in
pa
rticu
lar,
thei
r pr
oces
ses
for
iden
tifyi
ng, a
sses
sing
, and
te
stin
g po
tent
ial
fraud
an
d m
isco
nduc
t sc
hem
es
and
scen
ario
s, i
nclu
ding
tho
se t
hat
coul
d in
volv
e su
pplie
rs,
cont
ract
ors,
and
oth
er p
artie
s.
Oci
jeni
ti pr
oces
ocj
ene
rizik
a pr
ijeva
re,
a na
roči
to
proc
ese
ruko
vods
tva
za
utvr
điva
nje
i is
pitiv
anje
m
oguć
ih p
rijev
ara,
te p
lano
va i
scen
arija
zlo
upor
abe,
uk
ljuču
jući
i
one
koji
se
odno
se
na
doba
vlja
če,
ugov
orne
stra
nke
i dru
ge.
fraud
sch
eme
plan
prij
evar
eA
udito
rs
also
sh
ould
un
ders
tand
fra
ud
sche
mes
an
d sc
enar
ios,
as
wel
l as
be a
war
e of
the
sign
s th
at p
oint
to
fraud
and
how
to p
reve
nt th
em.
Rev
izor
i ta
kođe
r m
oraj
u do
bro
razu
mje
ti pl
anov
e i
scen
arije
prij
evar
e, t
e sp
rem
no u
očav
ati p
okaz
atel
je
prije
vare
i na
čine
njih
ova
sprje
čava
nja.
fraud
-rel
ated
con
trols
kont
role
za
sprje
čava
nje
prije
vare
Ass
ess
the
desi
gn a
nd o
pera
ting
effe
ctiv
enes
s of
fra
ud-
rela
ted
cont
rols
; en
sure
tha
t au
dit
plan
s an
d pr
ogra
ms
addr
ess
resi
dual
risk
and
inco
rpor
ate
fraud
aud
its; e
valu
ate
the
desi
gn o
f fa
cilit
ies
from
a f
raud
or
thef
t pe
rspe
ctiv
e;
and
revi
ew p
ropo
sed
chan
ges
to l
aws,
reg
ulat
ions
, or
sy
stem
s, a
nd th
eir i
mpa
cts
on c
ontro
ls.
Oci
jeni
ti pl
an
i ra
dnu
učin
kovi
tost
ko
ntro
la
za
sprje
čava
nje
prije
vare
; os
igur
ati d
a re
vizi
jski
pla
novi
i p
rogr
ami u
klju
čuju
rezi
dual
ni ri
zik
i ist
rage
prij
evar
e;
ocije
niti
nacr
t pr
osto
rija
sa
stan
oviš
ta
prije
vare
ili
kr
ađe;
te o
bavi
ti pr
egle
d pr
edlo
ženi
h iz
mje
ne z
akon
a,
prop
isa
ili s
usta
va te
njih
ova
učin
ka n
a ko
ntro
le.
fraud
ulen
t act
ivity
nepo
šten
a po
slov
na a
ktiv
nost
; pr
ijeva
rna
posl
ovna
akt
ivno
st
The
prob
abili
ty o
f a fr
audu
lent
act
ivity
is b
ased
, typ
ical
ly,
on h
ow e
asy
it is
to c
omm
it fra
ud, t
he m
otiv
atio
nal f
acto
rs
lead
ing
to fr
aud,
and
the
com
pany
’s fr
aud
hist
ory.
Vje
roja
tnos
t pr
ijeva
rnih
pos
lovn
ih a
ktiv
nost
i ob
ično
se
zas
niva
na
tom
e ka
ko je
lako
poč
initi
prij
evar
u, n
a m
otiv
acijs
kim
čim
beni
cim
a ko
ji do
vode
do
prije
vare
, te
na p
ovije
sti p
rijev
are
u or
gani
zaci
ji.
fraud
ulen
t fin
anci
al re
porti
ngpr
ijeva
rno
finac
ijsko
izvj
ešći
vanj
e
Org
aniz
atio
ns s
houl
d id
entif
y an
d as
sess
fra
ud-r
elat
ed
risks
, in
clud
ing
asse
ssin
g th
e po
tent
ial
for
fraud
ulen
t fin
anci
al
repo
rting
, as
set
mis
appr
opria
tions
, im
prop
er
rece
ipts
and
exp
endi
ture
s, o
r fin
anci
al m
isco
nduc
t by
m
anag
emen
t and
oth
ers.
Org
aniz
acije
tre
baju
pr
epoz
nati
i oc
ijeni
ti riz
ike
pove
zane
s
prije
vara
ma,
uk
ljuču
jući
oc
jenu
vj
eroj
atno
sti
za p
rijev
arno
fin
anci
jsko
izv
ješć
ivan
je,
pron
evje
ru i
mov
ine,
net
očno
st r
ačun
a ili
tro
škov
a,
ili n
ezak
onito
pon
ašan
je u
sve
zi f
inan
cija
od
stra
ne
ruko
vods
tva
i dru
gih.
full
disc
losu
repo
tpun
o ra
zotk
rivan
je;
obja
vljiv
anje
The
occa
sion
al p
erfo
rman
ce o
f no
n-au
dit
wor
k by
the
in
tern
al
audi
tor,
with
fu
ll di
sclo
sure
in
th
e re
porti
ng
proc
ess,
wou
ld n
ot n
eces
saril
y im
pair
inde
pend
ence
.
Pov
rem
eno
obav
ljanj
e ne
revi
zijs
kih
posl
ova
od s
trane
in
tern
ih r
eviz
ora,
uz
potp
uno
razo
tkriv
anje
pod
atak
a u
proc
esu
izvj
ešći
vanj
a, n
e m
ora
nužn
o on
emog
ućiti
nj
ihov
u ne
zavi
snos
t.
333
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
func
tiona
l rep
ortin
g lin
efu
nkci
onal
na li
nija
odg
ovor
nost
iTh
e fu
nctio
nal r
epor
ting
line
for t
he in
tern
al a
udit
func
tion
is th
e ul
timat
e so
urce
of i
ts in
depe
nden
ce a
nd a
utho
rity.
Funk
cion
alna
lini
ja o
dgov
orno
sti z
a dj
elat
nost
inte
rne
revi
zije
gl
avno
je
iz
voriš
te
njez
ine
neza
visn
osti
i ov
lašt
enja
.
func
tiona
l uni
tfu
nkci
onal
na je
dini
ca
Hig
h-le
vel
pers
onne
l of
th
e or
gani
zatio
n in
clud
es:
a di
rect
or; a
n ex
ecut
ive
offic
er; a
n in
divi
dual
in c
harg
e of
a
maj
or b
usin
ess
or fu
nctio
nal u
nit o
f the
org
aniz
atio
n, s
uch
as s
ales
, adm
inis
tratio
n or
fina
nce;
and
an
indi
vidu
al w
ith
a su
bsta
ntia
l ow
ners
hip
inte
rest
.
Vis
oko
ruko
vods
tvo
orga
niza
cije
ukl
juču
je:
dire
ktor
a;
izvr
šnog
dire
ktor
a; p
ojed
inca
zad
užen
og z
a gl
avnu
po
slov
nu il
i fun
kcio
naln
u je
dini
cu o
rgan
izac
ije, k
ao š
to
je p
roda
ja, a
dmin
istra
cija
ili f
inan
cije
; te
poje
dinc
a sa
zn
atni
m u
djel
om v
lasn
ištv
a.
gove
rnan
ce(k
orpo
rativ
no il
i org
aniz
acijs
ko)
upra
vlja
nje
Sig
nific
ant c
onsu
lting
ser
vice
s in
the
area
s of
gov
erna
nce,
ris
k m
anag
emen
t, fin
anci
al r
epor
ting,
inte
rnal
con
trol,
and
othe
r rel
ated
are
as.
Važ
ne u
slug
e sa
vjet
ništ
va n
a po
druč
jima
korp
orat
ivno
g up
ravl
janj
a,
upra
vlja
nja
rizik
om,
finan
cijs
kog
izvj
ešći
vanj
a, i
nter
nih
kont
rola
i d
rugi
m p
ovez
anim
po
druč
jima.
gove
rnan
ce p
roce
sses
proc
esi (
korp
orat
ivno
g ili
or
gani
zaci
jsko
g) u
prav
ljanj
a
It he
lps
an o
rgan
izat
ion
acco
mpl
ish
its o
bjec
tives
by
brin
ging
a s
yste
mat
ic,
disc
iplin
ed a
ppro
ach
to e
valu
ate
and
impr
ove
the
effe
ctiv
enes
s of
ris
k m
anag
emen
t, co
ntro
l, an
d go
vern
ance
pro
cess
es.
Pom
aže
orga
niza
ciji u
ost
variv
anju
cilj
eva,
usv
ajan
jem
su
stav
nog
i dis
cipl
inira
nog
pris
tupa
ocj
eni i
pobo
ljšan
ju
učin
kovi
tost
i pr
oces
a up
ravl
janj
a riz
ikom
, ko
ntro
la i
ko
rpor
ativ
nog
upra
vlja
nja.
gove
rnm
ent a
udit
orga
niza
tions
orga
niza
cije
drž
avne
revi
zije
This
Pra
ctic
e A
dvis
ory
prov
ides
gui
danc
e fo
r gov
ernm
ent
audi
t or
gani
zatio
ns c
ondu
ctin
g w
ork
in c
ompl
ianc
e w
ith
IIA S
tand
ards
, bu
t w
hose
loc
al g
over
nanc
e ru
les
audi
t st
anda
rds,
pol
icie
s an
d/or
leg
isla
tion
mor
e st
rictly
lim
it no
n-as
sura
nce
(con
sulti
ng) s
ervi
ces.
Ova
j N
aput
ak
za
prak
su
inte
rne
revi
zije
pr
uža
smje
rnic
e or
gani
zaci
jam
a dr
žavn
e re
vizi
je
koje
pr
ovod
e ak
tivno
sti u
suk
ladn
osti
sa S
tand
ardi
ma
IIA-
e, a
li či
ji lo
kaln
i sus
tav
upra
vlja
nja,
revi
zijs
ki s
tand
ardi
, po
litik
e i/i
li za
koni
stro
žije
ogr
anič
avaj
u sa
vjet
ničk
e us
luge
.
Gov
ernm
ent I
nter
nal A
udit
Sta
ndar
d 2.
4.2
Sta
ndar
d in
tern
e re
vizi
je v
lade
2.
4.2
Exa
mpl
es o
f spe
cific
rest
rictio
ns in
clud
e U
.K.’s
Gov
ernm
ent
Inte
rnal
Aud
it S
tand
ard
2.4.
2P
rimje
ri sp
ecifi
čnih
ogr
anič
enja
ukl
juču
ju S
tand
ard
inte
rne
revi
zije
vla
de 2
.4.2
. Uje
dinj
enog
Kra
ljevs
tva.
haph
azar
d sa
mpl
ena
sum
ični
uzo
rak
How
ever
, ana
lysi
s of
a h
apha
zard
sam
ple
shou
ld n
ot b
e re
lied
upon
to fo
rm a
con
clus
ion
on th
e po
pula
tion.
Međ
utim
, an
aliz
a na
sum
ično
g uz
orka
ni
je
sasv
im
pouz
dana
za
dono
šenj
e za
klju
čaka
o p
opul
aciji
.
haph
azar
d sa
mpl
ing
nasu
mič
no u
zork
ovan
jeH
apha
zard
sam
plin
g -in
whi
ch t
he a
udito
r se
lect
s th
e sa
mpl
e w
ithou
t fol
low
ing
a st
ruct
ured
tech
niqu
e, h
owev
er
avoi
ding
any
con
scio
us b
ias
or p
redi
ctab
ility
.
Nas
umič
no u
zork
ovan
je,
pri
koje
m r
eviz
or o
dabi
re
uzor
ak
bez
koriš
tenj
a st
rukt
urira
ne
tehn
ike,
al
i uz
iz
bjeg
avan
je
svak
e sv
jesn
e pr
istra
nost
i ili
pr
edvi
dljiv
osti.
334
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
high
-ris
k ar
eas
podr
učja
vis
okog
rizi
ka
The
risk
mod
el a
lso
shou
ld u
se c
onsi
sten
t ca
tego
ries
(i.e.
, the
re s
houl
d be
no
over
lap
betw
een
risk
area
s) a
nd
be d
etai
led
enou
gh fo
r a
risk
asse
ssm
ent t
o id
entif
y an
d co
ver a
ntic
ipat
ed h
igh-
risk
area
s.
Mod
el ri
zika
tako
đer t
reba
kor
istit
i dos
ljedn
e ka
tego
rije
(npr
. ne
smije
biti
pre
klap
anja
međ
u po
druč
jima
rizik
a),
te tr
eba
sadr
žava
ti do
voljn
o po
jedi
nost
i za
utvr
điva
nje
i pok
rivan
je p
odru
čja
viso
kog
rizik
a.
high
-ris
k pr
oces
ses
proc
esi v
isok
og ri
zika
A C
SA
pro
gram
sho
uld
incr
ease
the
cove
rage
of a
sses
sing
co
ntro
l pr
oces
ses
acro
ss t
he o
rgan
izat
ion,
im
prov
e th
e qu
ality
of c
orre
ctiv
e ac
tions
mad
e by
the
proc
ess
owne
rs,
and
focu
s in
tern
al a
udit
s w
ork
on r
evie
win
g hi
gh-r
isk
proc
esse
s an
d un
usua
l situ
atio
ns.
Pro
gram
sa
mov
redn
ovan
ja
(CS
A)
treba
po
veća
ti po
kriv
enos
t oc
jenj
ivan
ja k
ontro
lnih
pro
cesa
u c
ijelo
j or
gani
zaci
ji, p
obol
jšat
i kva
litet
u ko
rekt
ivni
h m
jera
, te
us
mje
riti d
jela
tnos
t int
erne
revi
zije
na
prov
jere
pro
cesa
vi
soko
g riz
ika
i neu
obič
ajen
ih s
ituac
ija.
IAA
SB
/IFA
C
Međ
unar
odni
odb
or z
a re
vizi
jske
i s
igur
nosn
e st
anda
rde
/ M
eđun
arod
na fe
dera
cija
ra
čuno
vođa
(IA
AS
B/IF
AC
)
This
pr
inci
ple
has
been
ar
ticul
ated
by
nu
mer
ous
stan
dard
-set
ting
bodi
es, i
nclu
ding
gui
danc
e pu
blis
hed
by
IAA
SB
/IFA
C i
n its
Cod
e of
Pro
fess
iona
l E
thic
s an
d th
e U
.S.
Gov
ernm
ent
Acc
ount
abili
ty O
ffice
in
its G
ener
ally
A
ccep
ted
Gov
ernm
ent A
uditi
ng S
tand
ards
.
Na
ovo
nače
lo p
oziv
aju
se m
noga
tije
la z
a ut
vrđi
vanj
e st
anda
rda,
ka
o np
r. IA
AS
B/IF
AC
u
smje
rnic
ama
Kod
eksa
pr
ofes
iona
lne
etik
e,
te
Vla
din
Ure
d za
od
govo
rnos
t (S
AD
) u
Opć
eprih
vaće
nim
sta
ndar
dim
a dr
žavn
e re
vizi
je.
ICA
EW
Inst
itut o
vlaš
teni
h ko
ntro
lora
E
ngle
ske
i Wal
esa
(ICA
EW
)
This
ris
k is
rai
sed
in t
he J
anua
ry 2
003
Sm
ith R
epor
t on
Aud
it C
omm
ittee
s an
d C
ombi
ned
Cod
e G
uida
nce,
ap
poin
ted
by t
he F
inan
cial
Rep
ortin
g C
ounc
il, a
nd i
s ad
dres
sed
in g
uida
nce
publ
ishe
d by
IC
AE
W (
Inst
itute
of
Cha
rtere
d A
ccou
ntan
ts i
n E
ngla
nd a
nd W
ales
), am
ong
othe
rs.
Ova
j riz
ik j
e, i
zmeđ
u os
talo
g, p
repo
znat
u s
iječn
ju
2003
., u
Sm
ithov
om iz
vješ
ću p
od n
aziv
om “R
eviz
ijska
vi
jeća
i sm
jern
ice
za p
rove
dbu
Kom
bini
rano
g ko
deks
a”
Vije
ća z
a fin
anci
jsko
izvj
ešći
vanj
e, t
e u
smje
rnic
ama
Inst
ituta
Ovl
ašte
nih
raču
novo
đa E
ngle
ske
i Wal
esa)
.
IIAIn
stitu
t int
erni
h re
vizo
ra (I
IA)
Inte
rnal
aud
itors
are
enc
oura
ged
to d
emon
stra
te t
heir
prof
icie
ncy
by
obta
inin
g ap
prop
riate
pr
ofes
sion
al
certi
ficat
ion,
su
ch
as
the
Cer
tifie
d In
tern
al
Aud
itor
desi
gnat
ion
and
othe
r des
igna
tions
offe
red
by T
he In
stitu
te
of In
tern
al A
udito
rs (I
IA).
Inte
rne
revi
zore
po
trebn
o je
po
ticat
i na
po
tvrd
u st
ručn
osti
stje
canj
em
odgo
vara
jući
h pr
ofes
iona
lnih
ce
rtifik
ata,
ka
o št
o je
na
ziv
ovla
šten
og
inte
rnog
re
vizo
ra, t
e dr
ugi n
aziv
i koj
e do
djel
juje
Inst
itut i
nter
nih
revi
zora
(IIA
).
IIA P
erfo
rman
ce S
tand
ards
Sta
ndar
di u
čink
ovito
sti I
IATh
e IIA
Per
form
ance
Sta
ndar
ds s
houl
d be
con
side
red
in i
dent
ifyin
g pe
rform
ance
mea
sure
men
t ca
tego
ries
in
inte
rnal
aud
it pr
oces
ses.
Pril
ikom
ut
vrđi
vanj
a ka
tego
rija
za
mje
renj
e uč
inko
vito
sti p
roce
sa in
tern
e re
vizi
je, p
otre
bno
je u
zeti
u ob
zir S
tand
arde
uči
nkov
itost
i IIA
-e.
335
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
IIA R
esea
rch
Foun
datio
nZa
klad
a za
istra
živa
nje
IIA
This
pap
er i
s av
aila
ble
on t
he I
IA W
eb s
ite a
nd w
as
spon
sore
d by
The
IIA
Res
earc
h Fo
unda
tion,
the
Can
adia
n In
stitu
te o
f C
harte
red
Acc
ount
ants
, an
d th
e In
stitu
te o
f C
orpo
rate
Dire
ctor
s.
Ova
j dok
umen
t mož
e se
nać
i na
web
stra
nici
IIA
-e, a
po
krov
itelji
su
mu
Zakl
ada
za is
traži
vanj
e IIA
, Kan
adsk
i in
stitu
t ov
lašt
enih
kon
trolo
ra i
Ins
titut
kor
pora
tivni
h di
rekt
ora.
IIA s
Cod
e of
Eth
ics
Etič
ki k
odek
s IIA
The
inte
rnal
aud
itor i
s gu
ided
by
The
IIA s
Cod
e of
Eth
ics
and
the
Attr
ibut
e an
d P
erfo
rman
ce S
tand
ards
of
the
Inte
rnat
iona
l S
tand
ards
for
the
Pro
fess
iona
l P
ract
ice
of
Inte
rnal
Aud
iting
(Sta
ndar
ds).
Inte
rni
revi
zori
osla
njaj
u se
na
sm
jern
ice
Etič
kog
kode
ksa
IIA,
te
Opi
snih
st
anda
rda
i S
tand
arda
uč
inko
vito
sti k
oji s
u di
o M
eđun
arod
nih
stan
dard
a za
pr
ofes
iona
lnu
prak
su in
tern
e re
vizi
je (S
tand
ardi
).
IIA S
tand
ards
Sta
ndar
di II
A
This
Pra
ctic
e A
dvis
ory
prov
ides
gui
danc
e fo
r gov
ernm
ent
audi
t or
gani
zatio
ns c
ondu
ctin
g w
ork
in c
ompl
ianc
e w
ith
IIA S
tand
ards
, bu
t w
hose
loc
al g
over
nanc
e ru
les
audi
t st
anda
rds,
pol
icie
s an
d/or
leg
isla
tion
mor
e st
rictly
lim
it no
n-as
sura
nce
(con
sulti
ng) s
ervi
ces.
Ova
j N
aput
ak
za
prak
su
inte
rne
revi
zije
pr
uža
smje
rnic
e or
gani
zaci
jam
a dr
žavn
e re
vizi
je
koje
pr
ovod
e ak
tivno
sti u
suk
ladn
osti
sa S
tand
ardi
ma
IIA,
ali č
iji lo
kaln
i sus
tav
upra
vlja
nja,
rev
izijs
ki s
tand
ardi
, po
litik
e i/i
li za
koni
stro
žije
ogr
anič
avaj
u sa
vjet
ničk
e us
luge
.
IIA-In
stitu
te A
gree
men
tug
ovor
Inst
ituta
IIA
IIA-In
stitu
te C
hief
Sta
ff O
ffice
rna
čeln
ik; p
reds
jedn
ik; d
irekt
or
Inst
ituta
IIA
IIA-In
stitu
te fe
esčl
anar
ina
Inst
ituta
IIA
IIA-In
stitu
te S
ecre
tary
tajn
ištv
o In
stitu
ta II
A
IIA-In
stitu
te T
op E
lect
ed O
ffice
rvi
soki
duž
nosn
ik In
stitu
ta II
A
IIA-In
stitu
tes
Inst
ituti
IIA
illeg
al a
ctne
zako
nito
dje
lo
Frau
d en
com
pass
es
a ra
nge
of
irreg
ular
ities
an
d ill
egal
ac
ts
char
acte
rized
by
in
tent
iona
l de
cept
ion
or
mis
repr
esen
tatio
n, w
hich
an
indi
vidu
al k
now
s to
be
fals
e or
doe
s no
t bel
ieve
to b
e tru
e.
Prij
evar
a ob
uhva
ća
širo
ki
rasp
on
nepr
aviln
osti
i ne
zako
nitih
dje
la s
a zn
ačaj
kam
a na
mje
rne
prije
vare
ili
kriv
og p
reds
tavl
janj
a po
data
ka, z
a ko
je p
ojed
inac
zna
da
su
neto
čni i
li ne
vje
ruje
da
su to
čni.
illeg
al a
ctiv
ityne
zako
nita
akt
ivno
stC
ompl
ianc
e pr
ogra
ms
assi
st o
rgan
izat
ions
in p
reve
ntin
g in
adve
rtent
em
ploy
ee v
iola
tions
, det
ectin
g ill
egal
act
iviti
es,
and
disc
oura
ging
inte
ntio
nal e
mpl
oyee
vio
latio
ns.
Pro
gram
i po
štiv
anja
za
kons
ke
regu
lativ
e po
maž
u or
gani
zaci
jam
a u
sprje
čava
nju
nena
mje
rnih
pre
krša
ja,
otkr
ivan
ju
neza
koni
tih
aktiv
nost
i, te
sp
rječa
vanj
u na
mje
rnih
pre
krša
ja o
d st
rane
zap
osle
nika
.
336
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Impa
irmen
tsm
anje
nje;
nar
ušav
anje
; oš
teće
nje
Impl
emen
tatio
n st
anda
rds
Sta
ndar
di z
a ob
avlja
nje
(usl
uga
savj
etni
štva
)Th
is
Pra
ctic
e A
dvis
ory
incl
udes
gu
idan
ce
rela
ted
to
mul
tiple
Con
sulti
ng Im
plem
enta
tion
Sta
ndar
ds.
Ova
j N
aput
ak z
a pr
aksu
int
erne
rev
izije
ukl
juču
je
smje
rnic
e u
svez
i viš
estru
kih
Sta
ndar
da z
a ob
avlja
nje
uslu
ga s
avje
tniš
tva.
Inco
me
stat
emen
tiz
vješ
će o
prih
odim
a
inde
pend
ence
neza
visn
ost
inde
pend
ent e
xter
nal r
evie
wer
or
revi
ew te
amne
zavi
sni v
anjs
ki o
cjen
jivač
ili
ocje
njiv
ački
tim
The
first
app
roac
h is
a fu
ll ex
tern
al a
sses
smen
t con
duct
ed
by a
qua
lifie
d, i
ndep
ende
nt e
xter
nal
revi
ewer
or
revi
ew
team
.
Prv
i pr
istu
p uk
ljuču
je
sveo
buhv
atno
va
njsk
o vr
edno
vanj
e ko
je p
rovo
di s
tručn
i ne
zavi
sni
vanj
ski
ocje
njiv
ač il
i ocj
enjiv
ački
tim
.
inde
pend
ent o
n-si
te v
alid
atio
nne
zavi
sna
valid
acija
na
loka
ciji
klije
nta
The
IIA h
as p
rovi
ded
an a
ltern
ativ
e pr
oces
s va
lidat
ion
that
fe
atur
es a
n in
depe
nden
t on
-site
val
idat
ion
by q
ualif
ied,
in
depe
nden
t rev
iew
er.
IIA n
udi
zam
jens
ki p
roce
s va
lidac
ije,
koji
se s
asto
ji od
nez
avis
ne v
alid
acije
na
loka
ciji
klije
nta
u pr
oved
bi
stru
čnog
nez
avis
nog
ocje
njiv
ača.
inde
pend
ent p
arty
neza
visn
a st
rank
a
This
can
inc
lude
whe
ther
the
ind
epen
dent
par
ty h
as
appr
opria
te
prof
essi
onal
ce
rtific
atio
n or
lic
ense
, ha
s re
leva
nt e
xper
ienc
e an
d is
in g
ood
stan
ding
with
app
licab
le
prof
essi
onal
, and
regu
lato
ry (i
f app
licab
le) a
utho
ritie
s.
Ovo
m
ože
uklju
čiva
ti pr
ovje
ru
neza
visn
e st
rank
e,
u ob
liku
prov
jere
od
gova
raju
ćeg
prof
esio
naln
og
certi
fikat
a ili
do
zvol
e,
odgo
vara
juće
g is
kust
va,
te
odno
sa s
odg
ovar
ajuć
im p
rofe
sion
alni
m i
regu
lato
rnim
(u
kolik
o je
prim
jenj
ivo)
vla
stim
a.
inde
pend
ent r
evie
wne
zavi
sni p
regl
ed
This
alte
rnat
ive
appr
oach
brin
gs in
a q
ualif
ied,
inde
pend
ent
revi
ewer
or
revi
ew t
eam
who
is
wel
l-ver
sed
in q
ualit
y as
sess
men
t met
hodo
logy
to v
alid
ate
the
afor
emen
tione
d se
lf-as
sess
men
t of t
he in
tern
al a
udit
activ
ity.
Ova
j alte
rnat
ivni
pris
tup
uklju
čuje
sudj
elov
anje
stru
čnog
ne
zavi
snog
ocj
enjiv
ača
ili o
cjen
jivač
kog
tima,
koj
i je
dobr
o up
ozna
t s m
etod
olog
ijom
ocj
enjiv
anja
kva
litet
e i
mož
e po
tvrd
iti r
anije
spo
men
uto
sam
ovre
dnov
anje
dj
elat
nost
i int
erne
revi
zije
.
inde
pend
ent v
alid
atio
nne
zavi
sna
valid
acija
The
seco
nd a
ppro
ach
invo
lves
the
use
of
a qu
alifi
ed,
inde
pend
ent e
xter
nal r
evie
wer
or
revi
ew te
am to
con
duct
an
inde
pend
ent v
alid
atio
n of
the
inte
rnal
sel
f-ass
essm
ent
and
repo
rt co
mpl
eted
by
the
inte
rnal
aud
it ac
tivity
.
Dru
gi
pris
tup
uklju
čuje
su
djel
ovan
je
stru
čnog
ne
zavi
snog
va
njsk
og
ocje
njiv
ača
ili
ocje
njiv
ačko
g tim
a,
koji
prov
odi
neza
visn
u va
lidac
iju
inte
rnog
sa
mov
redn
ovan
ja
i iz
vješ
ća
djel
atno
sti
inte
rne
revi
zije
.
indi
cato
rs o
f fra
udpo
kaza
telji
prij
evar
e
The
inte
rnal
aud
itor
shou
ld h
ave
suffi
cien
t kn
owle
dge
to
iden
tify
the
indi
cato
rs o
f fra
ud b
ut is
not
exp
ecte
d to
hav
e th
e ex
perti
se o
f a p
erso
n w
hose
prim
ary
resp
onsi
bilit
y is
de
tect
ing
and
inve
stig
atin
g fra
ud.
Inte
rni
revi
zor
mor
a im
ati
dovo
ljno
znan
ja
za
uoča
vanj
e po
kaza
telja
prij
evar
e, a
li od
nje
ga s
e ne
oč
ekuj
e st
ručn
o zn
anje
oso
be č
ije je
gla
vno
zadu
ženj
e ot
kriv
anje
i is
traga
prij
evar
a.
337
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
indi
vidu
al a
udito
rspo
jedi
načn
i rev
izor
i
Obj
ectiv
ity i
s pr
esum
ed t
o be
im
paire
d w
hen
indi
vidu
al
audi
tors
revi
ew a
ny a
ctiv
ity in
whi
ch th
ey h
ave
prev
ious
ly
had
exec
utiv
e re
spon
sibi
lity,
or
in
w
hich
th
ey
have
pr
ovid
ed c
onsu
ltanc
y ad
vice
.
Do
sman
jene
obj
ektiv
nost
i mož
e do
ći u
slu
čaju
kad
a po
jedi
načn
i rev
izor
i pro
vode
revi
ziju
bilo
koje
dje
latn
osti
u ko
joj s
u pr
etho
dno
imal
i izv
ršnu
odg
ovor
nost
ili z
a ko
ju s
u pr
užal
i sav
jetn
ičke
usl
uge.
info
rmat
ion
asse
tsin
form
acijs
ka im
ovin
aTh
e pr
otec
tion
of s
yste
ms
and
info
rmat
ion
asse
ts th
roug
h ba
ckup
reco
ver,
cont
inge
ncy
plan
ning
.
Zašt
ita s
usta
va i i
nfor
mac
ijske
imov
ine
pute
m re
zerv
ne
pohr
ane
poda
taka
i pl
anira
nja
za s
luča
j nep
redv
iđen
ih
okol
nost
i.
info
rmat
ion
syst
emin
form
acijs
ki s
usta
v
Whe
re C
AA
Ts a
re u
sed
to e
xtra
ct i
nfor
mat
ion
for
data
an
alys
is t
he a
udito
r sh
ould
ver
ify t
he i
nteg
rity
of t
he
info
rmat
ion
syst
em a
nd I
T en
viro
nmen
t fro
m w
hich
the
da
ta a
re e
xtra
cted
.
U s
luča
jevi
ma
koriš
tenj
a ra
čuna
lnih
revi
zijs
kih
tehn
ika
(CA
AT)
za
iz
luči
vanj
e po
data
ka
pute
m
anal
ize
poda
taka
, re
vizo
r m
ora
potv
rditi
vj
erod
osto
jnos
t in
form
acijs
kog
sust
ava
i ok
ruže
nja
info
rmac
ijske
te
hnol
ogije
iz k
ojeg
ti p
odat
ci p
otje
ču.
info
rmat
ion
syst
em c
ontro
l en
viro
nmen
tok
ruže
nje
kont
rola
info
rmac
ijsko
g su
stav
a
In
thes
e ci
rcum
stan
ces,
th
e au
dito
r sh
ould
as
sess
th
is li
mita
tion
of s
cope
on
his/
her
abili
ty t
o ev
alua
te t
he
info
rmat
ion
syst
em c
ontro
l env
ironm
ent.
U o
vim
oko
lnos
tima,
rev
izor
tre
ba o
cije
niti
učin
ak
ovog
ogr
anič
enja
dje
lokr
uga
na n
jego
vu s
poso
bnos
t za
oc
jenj
ivan
je
okru
ženj
a ko
ntro
la
info
rmac
ijsko
g su
stav
a.
Info
rmat
ion
Sys
tem
s A
udit
and
Con
trol A
ssoc
iatio
n
Udr
uga
stru
čnja
ka z
a re
vizi
ju i
kont
rolu
info
rmac
ijski
h su
stav
a (IS
AC
A)
This
pro
duct
incl
udes
IS
Aud
iting
Gui
delin
es,
whi
ch a
re
used
by
perm
issi
on o
f the
Info
rmat
ion
Sys
tem
s A
udit
and
Con
trol A
ssoc
iatio
n (IS
AC
A).
Ova
j pr
oizv
od
uklju
čuje
S
mje
rnic
e za
re
vizi
ju
info
rmac
ijski
h su
stav
a, k
oje
se k
oris
te u
z do
pušt
enje
U
drug
e st
ručn
jaka
za
revi
ziju
i ko
ntro
lu in
form
acijs
kih
sust
ava
(ISA
CA
).
Info
rmat
ion
Sys
tem
s A
udit
and
Con
trol A
ssoc
iatio
n (IS
AC
A)
Gui
delin
e
Sm
jern
ice
Udr
uge
stru
čnja
ka z
a re
vizi
ju i
kont
rolu
info
rmac
ijski
h su
stav
a (IS
AC
A)
This
P
ract
ice
Adv
isor
y ha
s be
en
adop
ted
from
th
e In
form
atio
n S
yste
ms
Aud
it an
d C
ontro
l A
ssoc
iatio
n (IS
AC
A) G
uide
line.
Ova
j N
aput
ak z
a pr
aksu
int
erne
rev
izije
odr
ažav
a S
mje
rnic
e U
drug
e st
ručn
jaka
za
revi
ziju
i k
ontro
lu
info
rmac
ijski
h su
stav
a (IS
AC
A).
Info
rmat
ion
Tech
nolo
gy
Con
trols
sust
av k
ontro
la in
form
acijs
ke
tehn
olog
ije
Info
rmat
ion
Tech
nolo
gy
Gov
erna
nce
upra
vlja
nje
info
rmac
ijsko
m
tehn
olog
ijom
338
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Inst
itute
of C
harte
red
Acc
ount
ants
in E
ngla
nd a
nd
Wal
es
Inst
itut o
vlaš
teni
h ko
ntro
lora
E
ngle
ske
i Wal
esa
(ICA
EW
)
This
ris
k is
rai
sed
in t
he J
anua
ry 2
003
Sm
ith R
epor
t on
Aud
it C
omm
ittee
s an
d C
ombi
ned
Cod
e G
uida
nce,
ap
poin
ted
by t
he F
inan
cial
Rep
ortin
g C
ounc
il, a
nd i
s ad
dres
sed
in g
uida
nce
publ
ishe
d by
IC
AE
W (
Inst
itute
of
Cha
rtere
d A
ccou
ntan
ts i
n E
ngla
nd a
nd W
ales
), am
ong
othe
rs.
Ova
j riz
ik j
e, i
zmeđ
u os
talo
g, p
repo
znat
u s
iječn
ju
2003
., u
Sm
ithov
om iz
vješ
ću p
od n
aziv
om “R
eviz
ijska
vi
jeća
i sm
jern
ice
za p
rove
dbu
Kom
bini
rano
g ko
deks
a”
Vije
ća z
a fin
anci
jsko
izvj
ešći
vanj
e, t
e u
smje
rnic
ama
Inst
ituta
Ovl
ašte
nih
raču
novo
đa E
ngle
ske
i Wal
esa)
.
Inst
itute
of C
orpo
rate
Dire
ctor
sIn
stitu
t kor
pora
tivni
h di
rekt
ora
This
pap
er i
s av
aila
ble
on t
he I
IA W
eb s
ite a
nd w
as
spon
sore
d by
The
IIA
Res
earc
h Fo
unda
tion,
the
Can
adia
n In
stitu
te o
f C
harte
red
Acc
ount
ants
, an
d th
e In
stitu
te o
f C
orpo
rate
Dire
ctor
s.
Ova
j dok
umen
t mož
e se
nać
i na
web
stra
nici
IIA
-e, a
po
krov
itelji
su
mu
Zakl
ada
za is
traži
vanj
e IIA
, Kan
adsk
i in
stitu
t ov
lašt
enih
kon
trolo
ra i
Ins
titut
kor
pora
tivni
h di
rekt
ora.
Inte
grat
ed F
ram
ewor
kin
tegr
irani
okv
irIn
tegr
ated
Fra
mew
ork,
pub
lishe
d in
199
2 an
d 19
94 b
y th
e C
omm
ittee
of
Spo
nsor
ing
Org
aniz
atio
ns (
CO
SO
) of
the
Tr
eadw
ay C
omm
issi
on.
“Inte
grira
ni o
kvir
inte
rnih
kon
trola
”, u
izda
nju
Kom
iteta
za
sp
onzo
riran
je
orga
niza
cija
(C
OS
O)
Trea
dway
po
vjer
enst
va 1
992.
i 19
94.
Inte
grat
ed F
ram
ewor
k re
port
izvj
ešće
o in
tegr
irano
m o
kviru
Inte
grat
ed
Fram
ewor
k re
port
are
rele
vant
to
th
is
disc
ussi
on.
Izvj
ešće
o i
nteg
riran
om o
kviru
odn
osi
se n
a ov
o ra
zmat
ranj
e.
inte
rim re
ports
izvj
ešća
o m
eđur
azdo
blju
; pr
ivre
men
a iz
vješ
ća
Inte
rim r
epor
ts m
ay b
e us
ed to
com
mun
icat
e in
form
atio
n th
at
requ
ires
imm
edia
te
atte
ntio
n,
to
com
mun
icat
e a
chan
ge in
eng
agem
ent s
cope
for t
he a
ctiv
ity u
nder
revi
ew,
or to
kee
p m
anag
emen
t inf
orm
ed o
f eng
agem
ent p
rogr
ess
whe
n en
gage
men
ts e
xten
d ov
er a
long
per
iod.
Priv
rem
ena
izvj
ešća
m
ogu
se
koris
titi
u sv
rhu
prio
pćav
anja
in
form
acija
ko
je
zaht
ijeva
ju
trenu
tnu
pozo
rnos
t, pr
iopć
avan
ja
prom
jena
u
djel
okru
gu
anga
žman
a dj
elat
nost
i pod
rev
izijo
m,
te in
form
iranj
a ru
kovo
dstv
a o
tijek
u an
gažm
ana
kada
se
on p
rote
že
tijek
om d
užeg
razd
oblja
.
inte
rnal
and
ext
erna
l aud
itin
tern
a i v
anjs
ka re
vizi
jaIt
is c
omm
on p
ract
ice
for i
nter
nal a
nd e
xter
nal a
udito
rs to
gr
ant a
cces
s to
eac
h ot
her’s
aud
it w
orki
ng p
aper
s.U
pr
aksi
in
tern
e i
vanj
ske
revi
zije
, uo
biča
jeno
je
m
eđus
obno
odo
brav
anje
pris
tupa
radn
im s
pisi
ma.
inte
rnal
and
ext
erna
l aud
it ac
tiviti
esak
tivno
sti i
nter
ne i
vanj
ske
revi
zije
Suc
h as
sess
men
ts s
houl
d or
dina
rily
be m
ade
in t
he
cont
ext
of t
he C
AE
s
role
of
coor
dina
ting
inte
rnal
and
ex
tern
al a
uditi
ng a
ctiv
ities
, an
d sh
ould
ext
end
to o
ther
pe
rform
ance
mat
ters
onl
y at
the
spec
ific
requ
est o
f sen
ior
man
agem
ent o
r the
boa
rd.
Takv
a vr
edno
vanj
a ob
ično
treb
aju
biti u
kont
ekst
u ul
oge
glav
nog
revi
zora
, pr
i če
mu
on o
bavl
ja k
oord
inac
iju
aktiv
nost
i int
erne
i va
njsk
e re
vizi
je, t
e tre
baju
ukl
juči
ti dr
uga
pita
nja
učin
kovi
tost
i sam
o na
pos
eban
zah
tjev
viso
kog
ruko
vods
tva
ili u
prav
e.
339
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
inte
rnal
and
ext
erna
l aud
iting
fu
nctio
nsfu
nkci
je in
tern
e i v
anjs
ke re
vizi
jeS
uch
eval
uatio
ns m
ay a
lso
incl
ude
asse
ssm
ents
of
the
over
all e
ffici
ency
and
effe
ctiv
enes
s of
inte
rnal
and
ext
erna
l au
ditin
g fu
nctio
ns, i
nclu
ding
agg
rega
te a
udit
cost
.
Takv
a vr
edno
vanj
a ta
kođe
r mog
u uk
ljuči
vati
proc
jenu
op
će
učin
kovi
tost
i i
djel
otvo
rnos
ti fu
nkci
ja
inte
rne
i va
njsk
e re
vizi
je,
uklju
čuju
ći
sveu
kupn
e tro
škov
e re
vizi
je.
inte
rnal
and
ext
erna
l aud
itors
inte
rni i
van
jski
revi
zori
The
CA
E
shou
ld
mak
e re
gula
r ev
alua
tions
of
th
e co
ordi
natio
n be
twee
n in
tern
al a
nd e
xter
nal a
udito
rs.
Gla
vni
revi
zor
treba
pr
ovod
iti
redo
vite
pr
ocje
ne
koor
dina
cije
izm
eđu
inte
rnih
i va
njsk
ih re
vizo
ra.
inte
rnal
aud
itin
tern
a re
vizi
ja
The
purp
ose,
aut
horit
y, a
nd r
espo
nsib
ility
of
the
inte
rnal
au
dit
activ
ity s
houl
d be
for
mal
ly d
efin
ed i
n a
char
ter,
cons
iste
nt
with
th
e S
tand
ards
, an
d ap
prov
ed
by
the
boar
d.
Svr
ha,
ovla
šten
ja
i za
duže
nja
djel
atno
sti
inte
rne
revi
zije
treb
aju
se s
lužb
eno
defin
irati
pute
m p
ovel
je, u
su
klad
nost
i sa
Sta
ndar
dim
a i u
z od
obre
nje
upra
ve.
inte
rnal
aud
it ac
tivity
aktiv
nost
inte
rne
revi
zije
; dj
elat
nost
inte
rne
revi
zije
The
purp
ose,
aut
horit
y, a
nd r
espo
nsib
ility
of
the
inte
rnal
au
dit
activ
ity s
houl
d be
for
mal
ly d
efin
ed i
n a
char
ter,
cons
iste
nt
with
th
e S
tand
ards
, an
d ap
prov
ed
by
the
boar
d.
Svr
ha,
ovla
šten
ja
i za
duže
nja
djel
atno
sti
inte
rne
revi
zije
treb
aju
se s
lužb
eno
defin
irati
pute
m p
ovel
je, u
su
klad
nost
i sa
Sta
ndar
dim
a i u
z od
obre
nje
upra
ve.
inte
rnal
aud
it ch
arte
rpo
velja
inte
rne
revi
zije
Inte
rnal
aud
itors
sho
uld
cons
ider
the
follo
win
g su
gges
tions
w
hen
adop
ting
an in
tern
al a
udit
char
ter.
Pril
ikom
us
vaja
nja
pove
lje
inte
rne
revi
zije
, in
tern
i re
vizo
ri tre
baju
uze
ti u
obzi
r slje
deće
prij
edlo
ge.
Inte
rnal
aud
it m
anag
emen
tru
kovo
dstv
o in
tern
e re
vizi
jeA
ssis
t in
tern
al
audi
t m
anag
emen
t in
th
e ac
quis
ition
, m
aint
enan
ce,
and
empl
oym
ent
of a
udit
tool
s an
d ot
her
use
of te
chno
logy
.
Pom
agat
i ru
kovo
dstv
u in
tern
e re
vizi
je
u na
bavi
, od
ržav
anju
i
prim
jeni
re
vizi
jski
h al
ata
i dr
uge
tehn
olog
ije.
inte
rnal
aud
it pr
oces
spr
oces
inte
rne
revi
zije
The
IIA P
erfo
rman
ce S
tand
ards
sho
uld
be c
onsi
dere
d in
ide
ntify
ing
perfo
rman
ce m
easu
rem
ent
cate
gorie
s in
in
tern
al a
udit
proc
esse
s.
Pril
ikom
ut
vrđi
vanj
a ka
tego
rija
za
mje
renj
e uč
inko
vito
sti p
roce
sa in
tern
e re
vizi
je, p
otre
bno
je u
zeti
u ob
zir S
tand
arde
uči
nkov
itost
i IIA
.
inte
rnal
aud
it pr
ofes
sion
stru
ka in
tern
e re
vizi
jeIn
clud
e be
nchm
arki
ng
of
the
inte
rnal
au
dit
activ
ity’s
pr
actic
es a
nd p
erfo
rman
ce m
etric
s ag
ains
t re
leva
nt b
est
prac
tices
of t
he in
tern
al a
udit
prof
essi
on.
Ukl
juči
ti us
pore
dbu
prak
se
i m
etrik
e uč
inko
vito
sti
djel
atno
sti
inte
rne
revi
zije
s r
elev
antn
om n
ajbo
ljom
pr
akso
m s
truke
inte
rne
revi
zije
.
inte
rnal
aud
it re
port
izvj
ešće
inte
rne
revi
zije
If po
ssib
le,
the
audi
tor
shou
ld r
evie
w r
elev
ant
inte
rnal
au
dit r
epor
ts.
Ako
je to
mog
uće,
revi
zor t
reba
pre
gled
ati r
elev
antn
a iz
vješ
ća in
tern
e re
vizi
je.
inte
rnal
aud
it ris
k as
sess
men
toc
jena
rizi
ka in
tern
e re
vizi
jeR
epor
t fu
nctio
nally
mea
ns t
hat
the
gove
rnin
g au
thor
ity
wou
ld a
ppro
ve t
he i
nter
nal
audi
t ris
k as
sess
men
t an
d re
late
d au
dit p
lan.
Izvj
ešći
vanj
e po
fu
nkci
onal
noj
liniji
od
govo
rnos
ti zn
ači d
a up
ravn
o tij
elo
odob
rava
ocj
enu
rizik
a in
tern
e re
vizi
je i
pove
zani
pla
n re
vizi
je.
340
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
inte
rnal
aud
it se
rvic
esus
luge
inte
rne
revi
zije
One
suc
h ga
p ex
ists
bet
wee
n m
anag
emen
t an
d th
e bo
ard’
s no
rmal
ly h
igh
expe
ctat
ions
abo
ut t
he v
alue
of
inte
rnal
aud
iting
ser
vice
s an
d th
e in
tern
al a
udit
mor
e m
odes
t ex
pect
atio
ns
that
de
rive
from
kn
owle
dge
of
prac
tical
lim
itatio
ns o
n au
dit
cove
rage
and
fro
m s
elf-
doub
t abo
ut g
ener
atin
g su
ffici
ent e
vide
nce
to s
uppo
rt an
in
form
ed a
nd o
bjec
tive
judg
men
t.
Taka
v ne
skla
d po
stoj
i iz
međ
u vi
soki
h oč
ekiv
anja
up
rave
i r
ukov
odst
va o
zna
čajn
osti
uslu
ga i
nter
ne
revi
zije
, te
ne
što
skro
mni
jih
oček
ivan
ja
inte
rne
revi
zije
, ko
ja
potje
ču
iz
sazn
anja
o
prak
tični
m
ogra
niče
njim
a re
vizi
jske
pok
riven
osti,
te
sum
nje
u vl
astit
e m
oguć
nost
i pr
iliko
m p
rikup
ljanj
a do
kaza
koj
i po
tkrje
plju
ju in
form
irano
i ob
jekt
ivno
miš
ljenj
e.
inte
rnal
aud
it st
aff
djel
atni
ci in
tern
e re
vizi
jeTh
e in
tern
al a
udit
staf
f sh
ould
col
lect
ivel
y po
sses
s th
e kn
owle
dge
and
sk i
lls e
ssen
tial
to t
he p
ract
ice
of t
he
prof
essi
on w
ithin
the
orga
niza
tion.
Svi
dje
latn
ici
inte
rne
revi
zije
tre
baju
im
ati
znan
je i
vj
eštin
e pr
ijeko
pot
rebn
e za
oba
vlja
nje
stru
čne
prak
se
unut
ar o
rgan
izac
ije.
inte
rnal
aud
it st
atis
tics/
met
rics
stat
istik
a/m
etrik
a in
tern
e re
vizi
jeO
vers
ee th
e sy
stem
(s)
for
inte
rnal
aud
it st
atis
tics/
met
rics
and
for p
ost-a
udit
and
othe
r sur
veys
.N
adgl
edat
i sta
tistik
u/m
etrik
u in
tern
e re
vizi
je,
te p
ost-
revi
zijs
ka i
drug
a is
traži
vanj
a.
inte
rnal
aud
iting
inte
rna
revi
zija
Inte
rnal
aud
iting
is a
n in
depe
nden
t, ob
ject
ive
assu
ranc
e an
d co
nsul
ting
activ
ity d
esig
ned
to a
dd v
alue
and
impr
ove
an o
rgan
izat
ion
s op
erat
ions
.
Inte
rna
revi
zija
je
neza
visn
a i
obje
ktiv
na d
jela
tnos
t pr
užan
ja
uslu
ga
uvje
renj
a i
savj
etni
štva
, ko
ja
doda
je v
rijed
nost
i d
oprin
osi
pobo
ljšan
ju p
oslo
vanj
e or
gani
zaci
je.
inte
rnal
aud
itor
inte
rni r
eviz
orIn
tern
al a
udito
rs s
houl
d co
nsid
er th
ese
sugg
estio
ns w
hen
plan
ning
and
con
tract
ing
for
an e
xter
nal
asse
ssm
ent
of
thei
r int
erna
l aud
it ac
tivity
.
Inte
rni r
eviz
ori t
reba
ju u
zeti
u ob
zir s
ljede
će p
rijed
loge
pr
iliko
m p
lani
ranj
a i s
asta
vlja
nja
ugov
ora
za v
anjs
ko
vred
nova
nje
djel
atno
sti i
nter
ne re
vizi
je.
inte
rnal
aud
itsin
tern
a re
vizi
jaTh
e C
AE
is r
espo
nsib
le fo
r es
tabl
ishi
ng a
n in
tern
al a
udit
activ
ity w
hose
sco
pe o
f wor
k in
clud
es a
ll ac
tiviti
es in
the
Sta
ndar
ds.
Gla
vni
revi
zor
zadu
žen
je z
a ut
vrđi
vanj
e dj
elat
nost
i in
tern
e re
vizi
je
čiji
djel
okru
g ra
da
uklju
čuje
sv
e ak
tivno
sti i
z S
tand
arda
.
inte
rnal
com
mun
icat
ions
inte
rna
kom
unik
acija
It is
als
o im
porta
nt fo
r man
agem
ent t
o de
sign
and
com
ply
with
pro
cedu
res
that
min
imiz
e in
tern
al c
omm
unic
atio
ns
abou
t an
ong
oing
inv
estig
atio
n, e
spec
ially
in
the
initi
al
phas
es.
Tako
đer j
e va
žno
da u
prav
a od
ređu
je i s
lijed
i pro
cedu
re
kojim
a se
sm
anju
je k
olič
ina
inte
rne
kom
unik
acije
o
teku
ćim
istra
gam
a, p
ogot
ovo
u po
četn
im s
tadi
jima.
341
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
inte
rnal
con
trol
inte
rna
kont
rola
Alth
ough
aud
itors
may
not
be
able
to
know
the
exa
ct
mot
ive
or
ratio
naliz
atio
n le
adin
g to
fra
ud,
they
ar
e ex
pect
ed to
und
erst
and
enou
gh a
bout
inte
rnal
con
trols
to
iden
tify
oppo
rtuni
ties
for f
raud
.
Iako
revi
zori
mož
da n
isu
upoz
nati
s to
čnim
mot
ivim
a ili
ra
zloz
ima
koji
dovo
de d
o pr
ijeva
re, o
d nj
ih s
e oč
ekuj
e ra
zum
ijeva
nje
inte
rnih
kon
trola
koj
e je
dos
tatn
o za
pr
epoz
nava
nje
prili
ka z
a pr
ijeva
ru.
inte
rnal
qua
lity
prog
ram
as
sess
men
tsin
tern
o vr
edno
vanj
e pr
ogra
ma
kval
itete
To p
rovi
de a
ccou
ntab
ility
and
tra
nspa
renc
y, t
he C
AE
sh
ould
co
mm
unic
ate
the
resu
lts
of
exte
rnal
an
d,
as
appr
opria
te,
inte
rnal
qua
lity
prog
ram
ass
essm
ents
with
th
e va
rious
sta
keho
lder
s of
the
act
ivity
(su
ch a
s se
nior
m
anag
emen
t, th
e bo
ard,
and
ext
erna
l aud
itors
).
U c
ilju
osig
uran
ja o
dgov
orno
sti
i tra
nspa
rent
nost
i, gl
avni
rev
izor
treb
a pr
iopć
iti r
ezul
tate
van
jsko
g, i
ako
je p
otre
bno,
inte
rnog
vre
dnov
anja
pro
gram
a kv
alite
te,
razl
ičiti
m n
osite
ljim
a in
tere
sa d
jela
tnos
ti (k
ao š
to s
u vi
soko
ruko
vods
tvo,
upr
ava
i van
jski
revi
zori)
.
inte
rnal
revi
ewin
tern
i pre
gled
; uvi
d; re
vizi
ja;
ocje
njiv
anje
Ong
oing
inte
rnal
ass
essm
ents
(th
e te
rm is
syn
onym
ous
with
the
term
s in
tern
al r
evie
w a
nd s
elf-a
sses
smen
t use
d el
sew
here
in
th
e P
ract
ice
Adv
isor
ies)
sh
ould
be
an
in
tegr
al p
art
of t
he d
ay-to
-day
sup
ervi
sion
, re
view
, an
d m
easu
rem
ent o
f the
inte
rnal
aud
it ac
tivity
, as
set f
orth
in
Pra
ctic
e A
dvis
ory
1311
-1, p
arag
raph
s tw
o an
d th
ree.
Sta
lno
inte
rno
vred
nova
nje
(ova
j iz
raz
isto
vjet
an j
e iz
razi
ma
“inte
rni p
regl
ed” i
“sam
ovre
dnov
anje
” koj
i se
koris
te n
a dr
ugim
mje
stim
a u
Nap
utci
ma
za p
raks
u in
tern
e re
vizi
je),
treba
biti
sas
tavn
i dio
sva
kodn
evno
g pr
oces
a na
dzor
a,
preg
leda
i
mje
renj
a dj
elat
nost
i in
tern
e re
vizi
je, k
ao š
to s
e na
vodi
u N
aput
ku z
a pr
aksu
in
tern
e re
vizi
je 1
311-
1, O
djel
jak
2 i 3
.
Inte
rnat
iona
l Sta
ndar
ds fo
r the
P
rofe
ssio
nal P
ract
ice
of In
tern
al
Aud
iting
(Sta
ndar
ds)
Međ
unar
odni
sta
ndar
di z
a pr
ofes
iona
lnu
prak
su in
tern
e re
vizi
je (S
tand
ardi
)
Thus
, in
the
perfo
rman
ce o
f all
serv
ices
the
inte
rnal
aud
itor
is g
uide
d by
The
IIA
s C
ode
of E
thic
s an
d th
e A
ttrib
ute
and
Per
form
ance
Sta
ndar
ds o
f the
Inte
rnat
iona
l Sta
ndar
ds fo
r th
e P
rofe
ssio
nal P
ract
ice
of In
tern
al A
uditi
ng (S
tand
ards
).
Dak
le, p
rilik
om o
bavl
janj
a sv
ih u
slug
a, in
tern
i rev
izor
i os
lanj
aju
se n
a sm
jern
ice
Etič
kog
kode
ksa
IIA-e
, te
O
pisn
ih s
tand
arda
i S
tand
arda
uči
nkov
itost
i ko
ji su
di
o M
eđun
arod
nih
stan
dard
a za
pro
fesi
onal
nu p
raks
u in
tern
e re
vizi
je (S
tand
ardi
).
intru
sion
man
agem
ent
kont
rola
upa
da
Tool
s th
at
shou
ld
be
in
plac
e in
clud
e:
intru
sion
m
anag
emen
t (m
onito
ring
softw
are,
aut
omat
ic t
ime-
out,
and
trend
ana
lysi
s),
phys
ical
sec
urity
for
e-c
omm
erce
se
rver
s, c
hang
e co
ntro
ls, a
nd re
conc
iliat
ion.
Ala
ti ko
je
orga
niza
cija
tre
ba
osig
urat
i: ko
ntro
la
upad
a (p
rogr
amsk
a op
rem
a za
nad
zor,
auto
mat
sko
vrem
ensk
o is
klju
čiva
nje
(tim
e-ou
t) i a
naliz
a tre
ndov
a),
fizič
ka
sigu
rnos
t po
služ
itelja
e-
trgov
ine,
ko
ntro
le
izm
jena
i us
klađ
ivan
je.
342
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
IS a
pplic
atio
n co
ntro
lsap
likac
ijske
kon
trole
in
form
acijs
kih
sust
ava
CA
ATs
may
be
used
in p
erfo
rmin
g va
rious
aud
it pro
cedu
res
incl
udin
g: C
ompl
ianc
e te
sts
of IS
app
licat
ion
cont
rols
.
Rač
unal
ne
revi
zijs
ke
tehn
ike
(CA
AT)
m
ogu
se
koris
titi
u pr
ovođ
enju
raz
ličiti
h re
vizi
jski
h po
stup
aka,
uk
ljuču
jući
: is
pitiv
anja
su
klad
nost
i ap
likac
ijski
h ko
ntro
la in
form
acijs
kih
sust
ava.
IS a
udit
revi
zija
info
rmac
ijski
h su
stav
a
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es n
eces
sary
to p
erfo
rm a
n IS
aud
it, b
ut s
impl
y a
reco
mm
ende
d co
re s
et o
f hig
h le
vel a
udito
r res
pons
ibili
ties
to c
ompl
emen
t det
aile
d pl
anni
ng e
fforts
.
Ova
j N
aput
ak n
e sa
drži
sve
pos
tupk
e po
trebn
e za
pr
ovođ
enje
rev
izije
info
rmac
ijski
h su
stav
a, v
eć s
amo
opće
nito
nav
odi z
aduž
enja
rev
izor
a u
smis
lu d
opun
e de
taljn
og p
lana
revi
zije
.
IS A
uditi
ng G
uide
lines
smje
rnic
e za
revi
ziju
in
form
acijs
kih
sust
ava
This
pro
duct
incl
udes
IS
Aud
iting
Gui
delin
es,
whi
ch a
re
used
by
perm
issi
on o
f the
Info
rmat
ion
Sys
tem
s A
udit
and
Con
trol A
ssoc
iatio
n (IS
AC
A).
Ova
j pr
oizv
od
uklju
čuje
S
mje
rnic
e za
re
vizi
ju
info
rmac
ijski
h su
stav
a, k
oje
se k
oris
te u
z do
pušt
enje
U
drug
e st
ručn
jaka
za
revi
ziju
i ko
ntro
lu in
form
acijs
kih
sust
ava
(ISA
CA
).
IS c
ontro
lko
ntro
la in
form
acijs
kih
sust
ava
For
each
IS
aud
it, a
udito
rs s
houl
d di
ffere
ntia
te b
etw
een
gene
ral
cont
rols
tha
t af
fect
all
info
rmat
ion
syst
ems
and
oper
atio
ns (p
erva
sive
IS c
ontro
ls) a
nd th
ose
that
ope
rate
at
a m
ore
spec
ific
leve
l (de
taile
d IS
con
trols
) to
focu
s au
dit
effo
rt on
the
risk
area
s re
leva
nt to
the
audi
t obj
ectiv
e.
Pril
ikom
sva
ke re
vizi
je in
form
acijs
kih
sust
ava,
revi
zori
treba
ju r
azlik
ovat
i op
će k
ontro
le k
oje
utje
ču n
a sv
e in
form
acijs
ke
sust
ave
i op
erac
ije
(sve
obuh
vatn
e ko
ntro
le i
nfor
mac
ijski
h su
stav
a) i
one
koj
e dj
eluj
u na
spe
cifič
noj r
azin
i (de
taljn
e ko
ntro
le in
form
acijs
kih
sust
ava)
, u c
ilju
usm
jera
vanj
a re
vizi
jski
h ak
tivno
sti n
a po
druč
ja ri
zika
rele
vant
nih
za c
ilj re
vizi
je.
IS c
ontro
l pro
cess
espr
oces
i kon
trole
info
rmac
ijski
h su
stav
a
The
CO
BIT
fra
mew
ork
divi
des
IS c
ontro
l pro
cess
es in
to
four
do
mai
ns:
Pla
nnin
g an
d O
rgan
izat
ion
Acq
uisi
tion
and
Impl
emen
tatio
n D
eliv
ery
and
Sup
port
Mon
itorin
g Th
e ef
fect
iven
ess
of t
he c
ontro
ls i
n th
e A
cqui
sitio
n an
d Im
plem
enta
tion
(AI)
and
Del
iver
y an
d S
uppo
rt (D
S)
dom
ains
is in
fluen
ced
by th
e ef
fect
iven
ess
of th
e co
ntro
ls
oper
ated
in
the
Pla
nnin
g an
d O
rgan
izat
ion
(PO
) an
d M
onito
ring
(M) d
omai
ns.
Pre
ma
CO
BIT
okv
iru,
proc
esi k
ontro
le in
form
acijs
kih
sust
ava
dije
le s
e u
četir
i po
druč
ja:
Org
aniz
acija
i
plan
iranj
e,
Akv
izic
ija
i im
plem
enta
cija
, Is
poru
ka
i po
tpor
a, K
ontro
la i
eval
uaci
ja. U
čink
ovito
st k
ontro
la u
do
men
ama
Akv
izic
ije i i
mpl
emen
taci
je (A
I), te
Ispo
ruke
i p
otpo
re (D
S) z
asni
vaju
se
na u
čink
ovito
sti k
ontro
la u
do
men
ama
Org
aniz
acije
i pl
anira
nja
(PO
), te
Kon
trole
i e
valu
acije
(M).
ISA
CA
Udr
uga
stru
čnja
ka z
a re
vizi
ju i
kont
rolu
info
rmac
ijski
h su
stav
a (IS
AC
A)
The
use
and
adop
tion
of t
his
docu
men
t ha
s be
en d
one
with
ISA
CA
’s p
erm
issi
on a
nd a
ckno
wle
dgem
ent.
Kor
ište
nje
i usv
ajan
je o
vog
doku
men
ta o
dvija
se
uz
odob
renj
e i d
opuš
tenj
e IS
AC
A-e
.
343
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
issu
eriz
dava
telj
Req
uire
s to
cer
tify
in e
ach
quar
terly
and
ann
ual
repo
rt,
incl
udin
g tra
nsiti
on re
ports
, file
d or
sub
mitt
ed b
y th
e is
suer
un
der S
ectio
n 13
(a) o
r 15(
d).
(Pre
ma
Pra
vilim
a 13
a-14
i
15d-
14
Kom
isije
za
vr
ijedn
osni
ce i
bur
zovn
o po
slov
anje
(S
EC
), gl
avni
iz
vršn
i dire
ktor
ili d
irekt
ori,
te g
lavn
i fin
anci
jski
dire
ktor
ili
dire
ktor
i, ili
oso
be k
oje
obav
ljaju
slič
ne fu
nkci
je z
a iz
dava
telja
), u
svak
om
trom
jese
čnom
i
godi
šnje
m
izvj
ešću
, ukl
juču
jući
prij
elaz
na iz
vješ
ća, k
oje
izda
vate
lj po
dnos
i pr
ema
Odj
eljk
u 13
(a)
ili 1
5(d)
Zak
ona
o bu
rzov
nom
pos
lova
nju,
tre
baju
pos
vjed
očiti
o t
ome
da...
IT c
ontro
lsko
ntro
le in
form
acijs
ke te
hnol
ogije
In th
e ab
senc
e of
stro
ng g
ener
al IT
con
trols
, the
aud
itor
may
mak
e an
ass
essm
ent o
f the
effe
ct o
f thi
s w
eakn
ess
on
the
relia
bilit
y of
th
e co
mpu
teriz
ed
appl
icat
ion
cont
rols
.[Pra
ctic
e_A
dvis
orie
s_co
mpl
ete_
6_12
_200
7_E
NG
.doc
]
U sl
učaj
u ne
dost
atka
uči
nkov
itih
kont
rola
info
rmac
ijski
h te
hnol
ogija
, re
vizo
r m
ože
proc
ijeni
ti uč
inak
to
g ne
dost
atka
na
pouz
dano
st r
ačun
alni
h ap
likac
ijski
h ko
ntro
la.
judg
men
tal s
ampl
ehi
pote
tski
uzo
rak
It sh
ould
be
note
d th
at a
jud
gmen
tal
sam
ple
is n
ot
stat
istic
ally
bas
ed a
nd r
esul
ts s
houl
d no
t be
extra
pola
ted
over
the
pop
ulat
ion
as t
he s
ampl
e is
unl
ikel
y to
be
repr
esen
tativ
e of
the
popu
latio
n.
Treb
a pr
imje
titi d
a se
hip
otet
ski u
zora
k ne
tem
elji
na
stat
istic
i, te
da
se re
zulta
ti ne
sm
iju p
rojic
irati
na č
itavu
po
pula
ciju
, bu
dući
da
uzor
ak n
e pr
edst
avlja
toč
an
prim
jer p
opul
acije
.
judg
men
tal s
ampl
ing
hipo
tets
ko u
zork
ovan
je
Judg
men
tal s
ampl
ing
- in
whi
ch th
e au
dito
r pla
ces
a bi
as
on t
he s
ampl
e (e
.g.,
all
sam
plin
g un
its o
ver
a ce
rtain
va
lue,
all
for a
spe
cific
type
of e
xcep
tion,
all
nega
tives
, all
new
use
rs, e
tc.).
Hip
otet
sko
uzor
kova
nje
- pr
i ko
jem
re
vizo
r uv
odi
pris
trano
st
pri
odab
iru
uzor
ka
(npr
. sv
e je
dini
ce
uzor
ka
izna
d od
ređe
ne
vrije
dnos
ti;
sve
jedi
nice
sp
ecifi
čnog
tipa
izni
mak
a; s
ve n
egat
ivne
jedi
nice
; svi
no
vi k
oris
nici
, itd
.).
liabi
litie
sob
veze
; dug
ovan
jaR
evie
w o
f pot
entia
l and
pen
ding
litig
atio
n, a
nd c
ontin
gent
lia
bilit
ies.
Pre
gled
mog
ućih
i n
erje
šeni
h pa
rnic
a, t
e po
veza
nih
dugo
vanj
a.
man
agem
ent
ruko
vods
tvo
Man
agem
ent
is r
espo
nsib
le f
or d
evel
opin
g co
ntro
ls o
ver
the
inve
stig
atio
n pr
oces
s, i
nclu
ding
dev
elop
ing
polic
ies
and
proc
edur
es fo
r effe
ctiv
e in
vest
igat
ions
and
sta
ndar
ds
for
hand
ling
the
resu
lts o
f in
vest
igat
ions
, re
porti
ng,
and
com
mun
icat
ions
.
Ruk
ovod
stvo
je z
aduž
eno
za r
azvo
j kon
trola
pro
cesa
is
trage
, uk
ljuču
jući
ra
zvoj
po
litik
a i
proc
edur
a za
uč
inko
vito
st
istra
ga,
te
stan
dard
e za
up
ravl
janj
e re
zulta
tima
istra
ga, i
zvje
šćiv
anje
i pr
iopć
avan
je.
344
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
man
agem
ent p
olic
ies
polit
ike
upra
vlja
nja
They
may
be
eval
uate
d as
ade
quat
e in
the
light
of t
he ri
sk
iden
tifie
d by
man
agem
ent
and
the
man
agem
ent
polic
ies
whi
ch d
irect
how
that
leve
l of r
isk
shou
ld b
e ad
dres
sed.
Oni
m
ogu
biti
ocije
njen
i ka
o ad
ekva
tni
u sv
jetlu
riz
ika
prep
ozna
tog
od s
trane
ruk
ovod
stva
, te
pol
itika
up
ravl
janj
a ko
je o
dređ
uju
suoč
avan
je s
tom
raz
inom
riz
ika.
map
ping
map
iranj
e
CA
ATs
incl
ude
man
y ty
pes
of to
ols
and
tech
niqu
es, s
uch
as g
ener
aliz
ed a
udit
softw
are,
util
ity s
oftw
are,
tes
t da
ta,
appl
icat
ion
softw
are
traci
ng
and
map
ping
, an
d au
dit
expe
rt sy
stem
s.
Rač
unal
ne r
eviz
ijske
teh
nike
ukl
juču
ju m
nogo
broj
ne
tipov
e al
ata
i te
hnik
a, k
ao š
to s
u op
ća p
rogr
amsk
a op
rem
a za
revi
ziju
, usl
užna
pro
gram
ska
opre
ma,
test
ni
poda
ci, t
rasi
ranj
e i m
apira
nje
aplik
acijs
ke p
rogr
amsk
e op
rem
e, te
sus
tavi
za
revi
zijs
ke s
tručn
jake
.
mea
sure
men
t pro
cess
proc
es m
jere
nja
The
CA
E s
houl
d es
tabl
ish
a m
easu
rem
ent
proc
ess
that
dr
ives
beh
avio
r th
at s
uppo
rts e
stab
lishe
d au
dit
activ
ity
goal
s/ob
ject
ives
an
d th
at
prov
ides
an
ap
prop
riate
as
sess
men
t of a
chie
vem
ent o
f tho
se g
oals
/obj
ectiv
es.
Gla
vni r
eviz
or tr
eba
utvr
diti
proc
es m
jere
nja,
koj
im ć
e se
pot
icat
i po
naša
nje
koje
pro
mič
e ut
vrđe
ne c
iljev
e dj
elat
nost
i re
vizi
je i
koj
i om
oguć
ava
odgo
vara
juću
oc
jenu
pos
tizan
ja ti
h ci
ljeva
.
mem
ber (
Inst
itute
)čl
an (I
nstit
uta)
Mem
ber (
com
ittee
)čl
an (k
omis
ije; v
ijeća
; odb
ora;
ko
mite
ta)
mer
ger a
nd a
cqui
sitio
n te
amtim
za
spaj
anje
i pr
euzi
man
je
podu
zeća
parti
cipa
tion
on a
mer
ger a
nd a
cqui
sitio
n te
am o
r sys
tem
co
nver
sion
te
am.[P
ract
ice_
Adv
isor
ies_
com
plet
e_6_
12_
2007
_EN
G.d
oc]
Sud
jelo
vanj
e u
radu
tim
a za
spa
janj
e i
preu
zim
anje
po
duze
ća il
i sku
pine
za
konv
erzi
ju s
usta
va.
mon
etar
y un
itno
včan
a je
dini
caA
s th
e in
divi
dual
m
onet
ary
unit
cann
ot
ordi
naril
y be
ex
amin
ed
sepa
rate
ly,
the
item
w
hich
in
clud
es
that
m
onet
ary
unit
is s
elec
ted
for e
xam
inat
ion.
Bud
ući
da s
e po
jedi
ne n
ovča
ne j
edin
ice
obič
no n
e m
ogu
zase
bno
ispi
tati,
za
ispi
tivan
je s
e od
abire
sta
vka
koja
ukl
juču
je o
dređ
enu
novč
anu
jedi
nicu
.
Mon
etar
y U
nit S
ampl
ing
uzor
kova
nje
novč
ane
jedi
nice
Exa
mpl
es
incl
ude
Mon
etar
y U
nit
Sam
plin
g or
V
alue
W
eigh
ted
sele
ctio
n w
here
ea
ch
indi
vidu
al
mon
etar
y va
lue.
Prim
jeri
uklju
čuju
uzo
rkov
anje
nov
čane
jed
inic
e ili
od
abir
s te
žino
m
na
veću
vr
ijedn
ost,
gdje
sv
aka
poje
dina
nov
čana
vrij
edno
st...
345
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
non
stat
istic
al s
ampl
ing
met
hod
nest
atis
tička
met
oda
uzor
kova
nja
Whe
n us
ing
stat
istic
al o
r non
-sta
tistic
al s
ampl
ing
met
hods
, th
e au
dito
r sh
ould
des
ign
and
sele
ct a
n au
dit
sam
ple,
pe
rform
aud
it pr
oced
ures
and
eva
luat
e sa
mpl
e re
sults
to
obt
ain
suffi
cien
t, re
liabl
e, r
elev
ant
and
usef
ul a
udit
evid
ence
.
U
prim
jeni
st
atis
tički
h i
nest
atis
tički
h m
etod
a uz
orko
vanj
a, r
eviz
or m
ora
odab
rati
revi
zijs
ki u
zora
k,
obav
iti
revi
zijs
ke
post
upke
i
ocije
niti
rezu
ltate
uz
orko
vanj
a u
cilju
dob
ivan
ja d
osta
tnog
, pou
zdan
og,
rele
vant
nog
i kor
isno
g re
vizi
jsko
g do
kaza
.
non-
audi
t (co
nsul
ting)
uni
tsne
revi
zijs
ke (s
avje
tnič
ke;
savj
etod
avne
) jed
inic
e
Seg
rega
tion
of n
on-a
udit
(con
sulti
ng)
units
fro
m u
nits
co
nduc
ting
audi
ts (
assu
ranc
e en
gage
men
ts)
with
in t
he
sam
e au
dit f
unct
ion.
Odv
ajan
je
nere
vizi
jski
h (s
avje
tnič
kih)
je
dini
ca
od
jedi
nica
ko
je
prov
ode
revi
ziju
(u
slug
e pr
užan
ja
uvje
renj
a) u
nuta
r ist
e re
vizi
jske
funk
cije
.
non-
audi
t fun
ctio
nne
revi
zijs
ka fu
nkci
jaIf
poss
ible
, in
tern
al
audi
tors
sh
ould
av
oid
acce
ptin
g re
spon
sibi
lity
for
non-
audi
t fu
nctio
ns o
r du
ties
that
are
su
bjec
t to
perio
dic
inte
rnal
aud
iting
ass
essm
ents
.
Ako
je t
o m
oguć
e, in
tern
i rev
izor
i tre
baju
izbj
egav
ati
prih
vaća
nje
zadu
ženj
a za
ne
revi
zijs
ke
funk
cije
ili
du
žnos
ti ko
je
podl
iježu
po
vrem
enim
in
tern
im
revi
zijs
kim
vre
dnov
anjim
a.
non-
audi
t wor
kne
revi
zijs
ke a
ktiv
nost
i; ne
revi
zijs
ki p
oslo
vi
The
occa
sion
al p
erfo
rman
ce o
f no
n-au
dit
wor
k by
the
in
tern
al
audi
tor,
with
fu
ll di
sclo
sure
in
th
e re
porti
ng
proc
ess,
wou
ld n
ot n
eces
saril
y im
pair
inde
pend
ence
.
Pov
rem
eno
obav
ljanj
e ne
revi
zijs
kih
posl
ova
od s
trane
in
tern
ih r
eviz
ora,
uz
potp
uno
razo
tkriv
anje
u p
roce
su
izvj
ešći
vanj
a, n
e m
ora
nužn
o on
emog
ućiti
njih
ovu
neza
visn
ost.
nonf
inan
cial
info
rmat
ion
nefin
anci
jski
pod
aci
Stu
dy o
f re
latio
nshi
ps o
f fin
anci
al i
nfor
mat
ion
with
the
ap
prop
riate
no
nfin
anci
al
info
rmat
ion
(for
exam
ple,
re
cord
ed p
ayro
ll exp
ense
com
pare
d to
cha
nges
in a
vera
ge
num
ber o
f em
ploy
ees)
.
Pro
učav
anje
od
nosa
iz
međ
u fin
anci
jski
h po
data
ka
i od
gova
raju
ćih
nefin
anci
jski
h po
data
ka
(npr
. za
bilje
ženi
troš
kovi
pla
ća u
usp
ored
bi s
pro
mje
nam
a u
pros
ječn
om b
roju
zap
osle
nika
).
norm
sst
anda
rdi;
norm
eC
ompl
ianc
e w
ith la
ws,
reg
ulat
ions
, et
hica
l and
bus
ines
s no
rms,
and
con
tract
s.P
oštiv
anje
zak
onsk
e re
gula
tive,
etič
kih
i po
slov
nih
stan
dard
a i u
govo
ra.
obje
ctiv
ityob
jekt
ivno
st
off-b
alan
ce s
heet
act
iviti
esva
nbila
nčne
akt
ivno
sti
Spe
cial
or
sp
ecifi
cally
ta
rget
ed
revi
ews
of
high
-ris
k,
com
plex
, and
pro
blem
are
as; i
nclu
ding
mat
eria
l acc
ount
ing
estim
ates
, res
erve
val
uatio
ns, o
ff-ba
lanc
e sh
eet a
ctiv
ities
, m
ajor
sub
sidi
arie
s, j
oint
ven
ture
s, a
nd s
peci
al p
urpo
se
entit
ies.
Pos
ebne
ili
pose
bno
cilja
ne r
eviz
ije v
isok
oriz
ični
h,
slož
enih
i
prob
lem
atič
nih
podr
učja
: uk
ljuču
jući
m
ater
ijaln
e ra
čuno
vods
tven
e pr
ocje
ne,
proc
jene
re
zerv
i, va
nbila
nčne
ak
tivno
sti,
glav
ne
ogra
nke,
za
jedn
ička
ula
ganj
a i t
ijela
za
pose
bne
nam
jene
.
346
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
off-b
alan
ce s
heet
tran
sact
ions
vanb
ilanč
ne tr
ansa
kcije
offic
erdi
rekt
or; r
ukov
odite
lj; n
ačel
nik
They
can
als
o he
lp p
rove
ins
uran
ce c
laim
s, d
eter
min
e di
rect
or a
nd o
ffice
r lia
bilit
y, c
reat
e or
enh
ance
cor
pora
te
iden
tity,
an
d de
cide
th
e ap
prop
riate
ness
of
pu
nitiv
e da
mag
es.
Oni
tako
đer
mog
u po
moć
i u d
okaz
ivan
ju z
ahtje
va z
a is
plat
om o
sigu
ranj
a, o
dređ
ivan
ju z
aduž
enja
dire
ktor
a i
ruko
vods
tva,
stv
aran
ju k
orpo
rativ
nog
iden
titet
a, t
e od
luči
vanj
u o
odgo
vara
jući
m k
azne
nim
odš
teta
ma.
oper
atin
g m
anag
emen
top
erat
ivno
ruko
vods
tvo
Inte
rnal
sta
keho
lder
s m
ay in
clud
e: b
oard
/aud
it co
mm
ittee
, se
nior
and
ope
ratin
g m
anag
emen
t. In
tern
i no
site
lji i
nter
esa
mog
u bi
ti: U
prav
ni o
dbor
/
revi
zijs
ko v
ijeće
, vis
oko
i ope
rativ
no ru
kovo
dstv
o.
oper
atin
g m
anag
ers
oper
ativ
ni ru
kovo
dite
lji
Inte
rnal
aud
itors
can
util
ize
CS
A p
rogr
ams
for
gath
erin
g re
leva
nt in
form
atio
n ab
out r
isks
and
con
trols
, for
focu
sing
th
e au
dit
plan
on
high
ris
k, u
nusu
al a
reas
, an
d to
for
ge
grea
ter
colla
bora
tion
with
ope
ratin
g m
anag
ers
and
wor
k te
ams
Inte
rni
revi
zori
mog
u ko
ristit
i pr
ogra
me
sam
ovre
dnov
anja
(C
SA
) za
prik
uplja
nje
rele
vant
nih
poda
taka
o ri
zici
ma
i kon
trola
ma,
u c
ilju
usm
jera
vanj
a re
vizi
jsko
g pl
ana
na
viso
koriz
ična
, ne
uobi
čaje
na
podr
učja
, te
ostv
ariv
anja
bol
je s
urad
nje
s op
erat
ivni
m
ruko
vods
tvom
i ra
dnim
sku
pina
ma.
orga
niza
tiona
l gov
erna
nce
orga
niza
cijs
ko u
prav
ljanj
e
Dire
ct c
omm
unic
atio
n oc
curs
whe
n th
e C
AE
reg
ular
ly
atte
nds
and
parti
cipa
tes
in m
eetin
gs o
f the
boa
rd, w
hich
re
late
to it
s ov
ersi
ght r
espo
nsib
ilitie
s fo
r aud
iting
, fin
anci
al
repo
rting
, org
aniz
atio
nal g
over
nanc
e, a
nd c
ontro
l.
Izra
vna
kom
unik
acija
ost
varu
je s
e pu
tem
red
ovite
na
zočn
osti
i sud
jelo
vanj
a na
sas
tanc
ima
upra
ve,
na
kojim
a se
razm
atra
ju z
aduž
enja
za
revi
ziju
, fin
anci
jsko
iz
vješ
ćiva
nje,
org
aniz
acijs
ko u
prav
ljanj
e i k
ontro
lu.
orga
niza
tiona
l stru
ctur
eor
gani
zaci
jska
stru
ktur
a
Rev
iew
w
ith
the
audi
t co
mm
ittee
th
e fu
nctio
nal
and
adm
inis
trativ
e re
porti
ng l
ines
of
inte
rnal
aud
it to
ens
ure
that
the
orga
niza
tiona
l stru
ctur
e in
pla
ce a
llow
s ad
equa
te
inde
pend
ence
for i
nter
nal a
udito
rs.
U
sura
dnji
s re
vizi
jski
m
vije
ćem
, iz
vrši
ti pr
egle
d fu
nkci
onal
ne
i ad
min
istra
tivne
lin
ije
odgo
vorn
osti
inte
rne
revi
zije
, u
cilju
ut
vrđi
vanj
a or
gani
zaci
jske
st
rukt
ure
koja
do
zvol
java
po
trebn
u ne
zavi
snos
t in
tern
ih re
vizo
ra.
orga
niza
tiona
l uni
tsor
gani
zaci
jske
jedi
nice
Com
paris
on o
f in
form
atio
n w
ith s
imila
r in
form
atio
n fo
r ot
her o
rgan
izat
iona
l uni
ts.
Usp
oređ
ivan
je p
odat
aka
sa s
lični
m p
odac
ima
drug
ih
orga
niza
cijs
kih
jedi
nica
.
outs
ide
serv
ice
prov
ider
vanj
ski p
ruža
telj
uslu
geA
n ou
tsid
e se
rvic
e pr
ovid
er is
a p
erso
n or
firm
, ind
epen
dent
of
the
orga
niza
tion,
who
has
spe
cial
kno
wle
dge,
ski
ll, a
nd
expe
rienc
e in
a p
artic
ular
dis
cipl
ine.
Van
jski
pru
žate
lj us
luga
je o
soba
ili t
vrtk
a, n
ezav
isna
od
org
aniz
acije
, koj
a im
a po
sebn
a zn
anja
, vje
štin
e ili
is
kust
vo u
poj
edin
oj d
isci
plin
i.
347
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
outs
ourc
ing
ekst
erna
lizira
nje;
kor
ište
nje
uslu
ga v
anjs
kih
sura
dnik
aTh
e rig
hts
to a
udit
a pr
ovid
er o
f out
sour
cing
ser
vice
s ar
e of
ten
uncl
ear.
Pra
va n
a re
vizi
ju p
ruža
telja
van
jski
h us
luga
čes
to n
isu
jasn
a.
perio
dic
exte
rnal
ass
essm
ent
povr
emen
o va
njsk
o vr
edno
vanj
e;
ocje
njiv
anje
Thes
e pr
oces
ses
shou
ld in
clud
e ap
prop
riate
sup
ervi
sion
, pe
riodi
c in
tern
al a
sses
smen
ts a
nd o
ngoi
ng m
onito
ring
of
qual
ity a
ssur
ance
, and
per
iodi
c ex
tern
al a
sses
smen
ts.
Ovi
pro
cesi
tre
baju
ukl
juči
vati
odgo
vara
jući
nad
zor,
povr
emen
o in
tern
o vr
edno
vanj
e i
stal
no
prać
enje
su
stav
a os
igur
anja
kva
litet
e, t
e po
vrem
eno
vanj
sko
vred
nova
nje.
perio
dic
inte
rnal
ass
essm
ent
povr
emen
o in
tern
o vr
edno
vanj
e;
ocje
njiv
anje
Thes
e pr
oces
ses
shou
ld in
clud
e ap
prop
riate
sup
ervi
sion
, pe
riodi
c in
tern
al a
sses
smen
ts a
nd o
ngoi
ng m
onito
ring
of
qual
ity a
ssur
ance
, and
per
iodi
c ex
tern
al a
sses
smen
ts.
Ovi
pro
cesi
tre
baju
ukl
juči
vati
odgo
vara
jući
nad
zor,
povr
emen
o in
tern
o vr
edno
vanj
e i
stal
no
prać
enje
su
stav
a os
igur
anja
kva
litet
e, t
e po
vrem
eno
vanj
sko
vred
nova
nje.
perv
asiv
e IS
Con
trols
sveo
buhv
atne
kon
trole
in
form
acijs
kih
sust
ava
Exa
mpl
es o
f per
vasi
ve IS
con
trols
incl
ude
cont
rols
ove
r IS
pr
oces
ses
defin
ed in
CO
BIT
’s p
lann
ing
and
Org
aniz
atio
n do
mai
n an
d M
onito
ring
dom
ain;
e.g
.
Prim
jeri
sveo
buhv
atni
h ko
ntro
la in
form
acijs
kih
sust
ava
uklju
čuju
ko
ntro
le
proc
esa
info
rmac
ijski
h su
stav
a,
prem
a de
finic
ijam
a C
OB
IT-a
(D
omen
a pl
anira
nja
i or
gani
zaci
je, D
omen
a na
dzor
a).
phys
ical
sec
urity
fizič
ka s
igur
nost
Tool
s th
at
shou
ld
be
in
plac
e in
clud
e:
intru
sion
m
anag
emen
t (m
onito
ring
softw
are,
aut
omat
ic t
ime-
out,
and
trend
ana
lysi
s),
phys
ical
sec
urity
for
e-c
omm
erce
se
rver
s, c
hang
e co
ntro
ls, a
nd re
conc
iliat
ion.
Ala
ti ko
je
orga
niza
cija
tre
ba
osig
urat
i: ko
ntro
la
upad
a (p
rogr
amsk
a op
rem
a za
nad
zor,
auto
mat
sko
vrem
ensk
o is
klju
čiva
nje
(tim
e-ou
t) i a
naliz
a tre
ndov
a),
fizič
ka
sigu
rnos
t po
služ
itelja
e-
trgov
ine,
ko
ntro
le
izm
jena
i us
klađ
ivan
je.
polic
ies
and
proc
edur
espo
litik
e i p
roce
dure
The
audi
tor s
houl
d co
nsid
er re
view
ing
such
thin
gs a
s th
e co
ntra
ct, s
ervi
ce le
vel a
gree
men
t, po
licie
s an
d pr
oced
ures
be
twee
n th
e th
ird p
arty
and
the
orga
niza
tion.
Rev
izor
treb
a uz
eti u
obz
ir pr
egle
d ug
ovor
a, u
govo
ra
o ra
zini
usl
uge
(SLA
), te
pol
itika
i pr
oced
ura
izm
eđu
treći
h os
oba
i org
aniz
acije
.
popu
latio
npo
pula
cija
The
popu
latio
n is
the
ent
ire s
et o
f da
ta f
rom
whi
ch t
he
audi
tor
wis
hes
to s
ampl
e in
ord
er t
o re
ach
a co
nclu
sion
on
the
popu
latio
n.
Pop
ulac
ija je
uku
pna
skup
ina
poda
taka
iz k
oje
revi
zor
želi
prov
esti
uzor
kova
nje,
u c
ilju
dono
šenj
a za
klju
čaka
u
svez
i pop
ulac
ije.
post
-aud
it (a
pos
terio
ri)na
kon
revi
zije
; pos
t-rev
izijs
kiO
vers
ee th
e sy
stem
(s)
for
inte
rnal
aud
it st
atis
tics/
met
rics
and
for p
ost-a
udit
and
othe
r sur
veys
(e.g
., of
the
cust
omer
s an
d ot
her s
take
hold
ers
of th
e in
tern
al a
udit
activ
ity).
Nad
gled
ati s
tatis
tiku/
met
riku
inte
rne
revi
zije
, te
pos
t-re
vizi
jska
i dr
uga
istra
živa
nja
(npr
. isp
itiva
nje
miš
ljenj
a kl
ijena
ta i
drug
ih n
osite
lja in
tere
sa u
sve
zi d
jela
tnos
ti in
tern
e re
vizi
je).
348
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
prac
tice
advi
sorie
sN
aput
ci z
a pr
aksu
Ext
erna
l ass
essm
ents
of t
he in
tern
al a
udit
activ
ity s
houl
d be
per
form
ed i
n ac
cord
ance
with
Pra
ctic
e A
dvis
orie
s 13
12-1
and
131
2-2.
Van
jsko
vr
edno
vanj
e dj
elat
nost
i in
tern
e re
vizi
je
potre
bno
je p
rovo
diti
u su
klad
nost
i s
Nap
utci
ma
za
prak
su in
tern
e re
vizi
je 1
312-
1 an
d 13
12-2
.
prac
tice
advi
sory
Nap
utak
za
prak
suN
atur
e of
this
Pra
ctic
e A
dvis
ory:
Inte
rnal
aud
itors
sho
uld
cons
ider
the
fol
low
ing
sugg
estio
ns w
hen
adop
ting
an
inte
rnal
aud
it ch
arte
r.
Prir
oda
ovog
N
aput
ka
za
prak
su
inte
rne
revi
zije
: in
tern
i rev
izor
i tre
baju
uze
ti u
obzi
r slje
deće
prij
edlo
ge
prili
kom
usv
ajan
ja p
ovel
je in
tern
e re
vizi
je.
prel
imin
ary
asse
ssm
ent
uvod
no v
redn
ovan
je il
i oc
jenj
ivan
je; p
očet
no
vred
nova
nje
ili o
cjen
jivan
je
This
pre
limin
ary
asse
ssm
ent
shou
ld i
nclu
de i
dent
ifyin
g an
d ev
alua
ting
rele
vant
per
vasi
ve IS
con
trols
.
Ovo
uvo
dno
vred
nova
nje
treba
ukl
juči
ti pr
epoz
nava
nje
i oc
jenj
ivan
je
rele
vant
nih
sveo
buhv
atni
h ko
ntro
la
info
rmac
ijski
h su
stav
a.
prin
cipa
l exe
cutiv
e of
ficer
glav
ni d
irekt
or; g
lavn
i izv
ršni
di
rekt
or; r
ukov
odite
lj
As
adop
ted,
SE
C R
ules
13a
-14
and
15d-
14 r
equi
re a
n is
suer
s
prin
cipa
l ex
ecut
ive
offic
er o
r of
ficer
s an
d th
e pr
inci
pal f
inan
cial
offi
cer o
r offi
cers
, or p
erso
ns p
erfo
rmin
g si
mila
r fu
nctio
ns,
to c
ertif
y in
eac
h qu
arte
rly a
nd a
nnua
l re
port,
inc
ludi
ng t
rans
ition
rep
orts
, fil
ed o
r su
bmitt
ed b
y th
e is
suer
und
er S
ectio
n 13
(a)
or 1
5(d)
of t
he E
xcha
nge
Act
that
:
Pre
ma
Pra
vilim
a 13
a-14
i
15d-
14
Kom
isije
za
vr
ijedn
osni
ce i
bur
zovn
o po
slov
anje
(S
EC
), gl
avni
iz
vršn
i dire
ktor
ili d
irekt
ori,
te g
lavn
i fin
anci
jski
dire
ktor
ili
dire
ktor
i, ili
oso
be k
oje
obav
ljaju
slič
ne f
unkc
ije
za iz
dava
telja
, u
svak
om t
rom
jese
čnom
i go
dišn
jem
iz
vješ
ću, u
klju
čuju
ći p
rijel
azna
izvj
ešća
, koj
e iz
dava
telj
podn
osi
prem
a O
djel
jku
13(a
) ili
15(
d) Z
akon
a o
burz
ovno
m p
oslo
vanj
u, tr
ebaj
u po
svje
doči
ti o
tom
e.
prin
cipa
l fin
anci
al o
ffice
rgl
avni
fina
ncijs
ki d
irekt
or
As
adop
ted,
SE
C R
ules
13a
-14
and
15d-
14 r
equi
re a
n is
suer
s
prin
cipa
l ex
ecut
ive
offic
er o
r of
ficer
s an
d th
e pr
inci
pal f
inan
cial
offi
cer o
r offi
cers
, or p
erso
ns p
erfo
rmin
g si
mila
r fu
nctio
ns,
to c
ertif
y in
eac
h qu
arte
rly a
nd a
nnua
l re
port,
inc
ludi
ng t
rans
ition
rep
orts
, fil
ed o
r su
bmitt
ed b
y th
e is
suer
und
er S
ectio
n 13
(a) o
r 15(
d).
Pre
ma
Pra
vilim
a 13
a-14
i
15d-
14
Kom
isije
za
vr
ijedn
osni
ce i
bur
zovn
o po
slov
anje
(S
EC
), gl
avni
iz
vršn
i dire
ktor
ili d
irekt
ori,
te g
lavn
i fin
anci
jski
dire
ktor
ili
dire
ktor
i, ili
oso
be k
oje
obav
ljaju
slič
ne f
unkc
ije
za iz
dava
telja
, u
svak
om t
rom
jese
čnom
i go
dišn
jem
iz
vješ
ću, u
klju
čuju
ći p
rijel
azna
izvj
ešća
, koj
e iz
dava
telj
podn
osi
prem
a O
djel
jku
13(a
) ili
15(
d) Z
akon
a o
burz
ovno
m p
oslo
vanj
u, tr
ebaj
u po
svje
doči
ti o
tom
e .
349
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
priv
acy
fram
ewor
kok
vir z
a za
štitu
priv
atno
sti
Nat
ure
of th
is P
ract
ice
Adv
isor
y: In
tern
al a
udito
rs s
houl
d co
nsid
er t
he f
ollo
win
g su
gges
tions
whe
n ev
alua
ting
an
orga
niza
tion
s ac
tiviti
es re
late
d to
its
priv
acy
fram
ewor
k.
Prir
oda
ovog
N
aput
ka
za
prak
su
inte
rne
revi
zije
: in
tern
i re
vizo
ri tre
baju
uz
eti
u ob
zir
slje
de
e pr
ijedl
oge
prili
kom
ocj
enjiv
anja
akt
ivno
sti o
rgan
izac
ije
koje
se
odno
se n
a ok
vir z
a za
atitu
priv
atno
sti.
priv
acy
polic
ypo
litik
a za
štite
priv
atno
sti
The
audi
tor
may
fa
cilit
ate
the
deve
lopm
ent
and
impl
emen
tatio
n of
the
priv
acy
prog
ram
, con
duct
a p
rivac
y ris
k as
sess
men
t to
dete
rmin
e th
e ne
eds
and
risk
expo
sure
s of
the
orga
niza
tion,
or m
ay re
view
and
pro
vide
ass
uran
ce
on th
e ef
fect
iven
ess
of th
e pr
ivac
y po
licie
s, p
ract
ices
, and
co
ntro
ls a
cros
s th
e or
gani
zatio
n.
Rev
izor
m
ože
imat
i ul
ogu
faci
litat
ora
za
razv
oj
i pr
ovođ
enje
pro
gram
a za
zaš
titu
priv
atno
sti,
prov
esti
ocje
nu r
izik
a pr
ivat
nost
i u c
ilju
odre
điva
nja
potre
ba i
izlo
ženo
st ri
ziku
org
aniz
acije
, ili
izvr
šiti
preg
led
i pru
žiti
uvje
renj
e o
učin
kovi
tost
i pol
itika
, pr
akse
i ko
ntro
la u
sv
ezi z
aštit
e pr
ivat
nost
i u o
rgan
izac
iji.
priv
ilege
of c
ritic
al s
elf-a
naly
sis
povl
astic
a kr
itičk
e sa
moa
naliz
eS
ome
cour
ts h
ave
reco
gniz
ed a
priv
ilege
of
criti
cal s
elf-
anal
ysis
that
shi
elds
from
dis
cove
ry s
elf-c
ritic
al m
ater
ials
lik
e au
dit w
ork
prod
uct.
Nek
i sud
ovi p
rizna
ju p
ovla
stic
u kr
itičk
e sa
moa
naliz
e,
kojo
m s
e sp
rječa
va o
tkriv
anje
sam
okrit
ički
h m
ater
ijala
ka
o št
o je
pro
izvo
d re
vizi
jsko
g ra
da.
proc
edur
es fo
r con
duct
ing
cons
ultin
g en
gage
men
tspo
stup
ci z
a pr
oved
bu s
avje
tnič
kih
anga
žman
a
Spe
cial
con
sulti
ng e
ngag
emen
ts,
such
as
parti
cipa
tion
in
a m
erge
r or
ac
quis
ition
pr
ojec
t, or
in
em
erge
ncy
enga
gem
ents
, su
ch a
s di
sast
er r
ecov
ery
activ
ities
, m
ay
requ
ire d
epar
ture
from
nor
mal
or
esta
blis
hed
proc
edur
es
for c
ondu
ctin
g co
nsul
ting
enga
gem
ents
.
Pos
ebni
sa
vjet
ničk
i an
gažm
ani,
kao
što
su
sudj
elov
anje
u p
roje
ktim
a sp
ajan
ja i
li pr
euzi
man
ja
podu
zeća
, ili
u an
gažm
anim
a hi
tnih
inte
rven
cija
(np
r. ak
tivno
sti
opor
avka
od
kata
stro
fe),
mog
u za
htije
vati
odm
ak
od
uobi
čaje
nih
ili
utvr
đeni
h po
stup
aka
za
prov
edbu
sav
jetn
ički
h an
gažm
ana.
proc
edur
es fo
r mon
itorin
gpo
stup
ci z
a pr
aćen
je; p
ostu
pci
nadz
ora
secu
rity p
olic
ies (
PO
6), a
lloca
tion
of se
curit
y res
pons
ibili
ties
(PO
4), r
isk
asse
ssm
ent p
roce
dure
s (P
O9)
and
pro
cedu
res
for m
onito
ring
com
plia
nce
with
its
secu
rity
polic
ies
(M1)
.
Pol
itike
si
gurn
osti
(PO
6),
Dod
jela
za
duže
nja
za
sigu
rnos
t (P
O4)
, P
ostu
pci
proc
jene
riz
ika
(PO
9),
te
Pos
tupc
i za
pr
aćen
je
sukl
adno
sti
s po
litik
ama
sigu
rnos
ti (M
1).
proj
ect m
anag
erpr
ojek
t men
adže
r; vo
dite
lj pr
ojek
ta
This
app
roac
h in
volv
es a
n ou
tsid
e te
am o
f co
mpe
tent
pr
ofes
sion
als
unde
r th
e le
ader
ship
of
an e
xper
ienc
ed
and
prof
essi
onal
pro
ject
man
ager
(se
e qu
alifi
catio
ns o
f ex
tern
al re
view
ers
in P
ract
ice
Adv
isor
y 13
12-1
.)
Ova
j pr
istu
p uk
ljuču
je v
anjs
ki t
im s
tručn
ih d
jela
tnik
a po
d vo
dstv
om
isku
snog
i
prof
esio
naln
og
vodi
telja
pr
ojek
ta (
pogl
edaj
te k
valif
ikac
ije v
anjs
kih
revi
zora
u
Nap
utku
za
prak
su in
tern
e re
vizi
je 1
312-
1).
350
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
publ
ic a
ccou
ntin
gja
vno
raču
novo
dstv
o
The
self-
eval
uativ
e pr
ivile
ge
is
parti
cula
rly
rele
vant
to
fun
ctio
ns a
nd a
ctiv
ities
tha
t ha
ve e
stab
lishe
d se
lf-re
gula
tory
pr
oced
ures
. H
ospi
tals
, se
curit
y br
oker
s,
and
publ
ic a
ccou
ntin
g fir
ms
are
amon
g th
ose
that
hav
e es
tabl
ishe
d su
ch p
roce
dure
s.
Pov
last
ica
sam
ovre
dnov
anja
od
pose
bne
je v
ažno
sti
za f
unkc
ije i
dje
latn
osti
s ut
vrđe
nim
pro
cedu
ram
a sa
mo-
regu
laci
je. N
eke
od o
rgan
izac
ija k
oje
su u
svoj
ile
takv
e pr
oced
ure
su b
olni
ce,
zašt
itars
ke b
roke
rske
ag
enci
je i
javn
e ra
čuno
vods
tven
e tv
rtke.
publ
ic k
ey c
ertif
icat
esce
rtifik
ati j
avno
g kl
juča
Ade
quac
y of
sys
tem
s, p
olic
ies,
and
pro
cedu
res
to c
ontro
l pu
blic
key
cer
tific
ates
(us
ing
publ
ic k
ey c
rypt
ogra
phic
te
chni
ques
).
Ade
kvat
nost
sus
tava
, pol
itika
i pr
oced
ura
za k
ontro
lu
certi
fikat
a ja
vnog
kl
juča
(k
oriš
tenj
e kr
ipto
graf
skih
te
hnik
a).
publ
ic k
ey c
rypt
ogra
phic
te
chni
ques
krip
togr
afsk
e te
hnik
e ja
vnog
kl
juča
Ade
quac
y of
sys
tem
s, p
olic
ies,
and
pro
cedu
res
to c
ontro
l pu
blic
key
cer
tific
ates
(us
ing
publ
ic k
ey c
rypt
ogra
phic
te
chni
ques
).
Ade
kvat
nost
sus
tava
, pol
itika
i pr
oced
ura
za k
ontro
lu
certi
fikat
a ja
vnog
kl
juča
(k
oriš
tenj
e kr
ipto
graf
skih
te
hnik
a).
QA
&IP
prog
ram
za
osig
uran
je i
pobo
ljšan
je k
valit
ete
(QA
&IP
)O
verv
iew
of
a
Qua
lity
Ass
uran
ce
and
Impr
ovem
ent
Pro
gram
(QA
&IP
)P
regl
ed
Pro
gram
a za
os
igur
anje
i
pobo
ljšan
je
kval
itete
.
QA
&IP
prog
ram
za
osig
uran
je i
pobo
ljšan
je k
valit
ete
(QA
&IP
)
To e
nsur
e th
at t
his
occu
rs,
Sta
ndar
d 13
00 r
equi
res
that
th
e C
AE
dev
elop
and
mai
ntai
n a
qual
ity a
ssur
ance
and
im
prov
emen
t pro
gram
(QA
&IP
).
Kak
o bi
se
to p
ostig
lo, p
rem
a S
tand
ardu
130
0, g
lavn
i re
vizo
r tre
ba ra
zvija
ti i o
drža
vati
prog
ram
za
osig
uran
je
i pob
oljš
anje
kva
litet
e.
QA
&IP
func
tion
funk
cija
pro
gram
a za
osi
gura
nje
i po
boljš
anje
kva
litet
e (Q
A&
IP)
The
CA
E
shou
ld
esta
blis
h a
form
al
QA
&IP
fu
nctio
n in
depe
nden
t of t
he a
udit
and
cons
ultin
g se
gmen
ts o
f the
in
tern
al a
udit
activ
ity.
Gla
vni
revi
zor
treba
ut
vrdi
ti sl
užbe
nu
funk
ciju
pr
ogra
ma
za o
sigu
ranj
e i
pobo
ljšan
je k
valit
ete,
koj
a je
nez
avis
na o
d re
vizi
jski
h i
savj
etni
čkih
seg
men
ata
djel
atno
sti i
nter
ne re
vizi
je.
QA
Rre
vizi
ja il
i pre
gled
pro
gram
a os
igur
anja
kva
litet
e (Q
AR
)Th
is d
ocum
enta
tion
shou
ld b
e pr
ovid
ed to
ext
erna
l qua
lity
cont
rol r
evie
wer
s du
ring
the
QA
R e
ngag
emen
t.
Ova
do
kum
enta
cija
tre
ba
biti
dost
upna
va
njsk
im
ocje
njiv
ačim
a ko
ntro
le k
valit
ete
u tij
eku
anga
žman
a pr
egle
da p
rogr
ama
osig
uran
ja k
valit
ete
(QA
R).
qual
ity a
sses
smen
tvr
edno
vanj
e kv
alite
te; o
cjen
a kv
alite
te
If th
e pe
riodi
c in
tern
al a
sses
smen
t is
per
form
ed b
y a
qual
ified
, in
depe
nden
t ex
tern
al r
evie
wer
or
revi
ew t
eam
, th
e as
sess
men
t re
sults
sho
uld
not
com
mun
icat
e an
y as
sura
nces
on
the
outc
ome
of t
he s
ubse
quen
t ex
tern
al
qual
ity a
sses
smen
t.
Ako
se
povr
emen
o in
tern
o vr
edno
vanj
e pr
ovod
i pod
vo
dstv
om s
tručn
og n
ezav
isno
g va
njsk
og o
cjen
jivač
a ili
ocj
enjiv
ačko
g tim
a, r
ezul
tati
vred
nova
nja
ne s
miju
iz
raža
vati
uvje
renj
a o
rezu
ltatu
van
jsko
g vr
edno
vanj
a kv
alite
te.
351
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
qual
ity a
sses
smen
t pra
ctic
espo
stup
ci v
redn
ovan
ja k
valit
ete
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es n
eces
sary
for c
ompr
ehen
sive
qua
lity
prog
ram
s or
the
ir as
sess
men
t, bu
t si
mpl
y a
reco
mm
ende
d se
t of
qu
ality
ass
essm
ent p
ract
ices
.
Ova
j N
aput
ak
ne
sadr
ži
sve
post
upke
po
trebn
e za
sv
eobu
hvat
ne
prog
ram
e kv
alite
te
ili
njih
ovo
vred
nova
nje,
već
sam
o na
vodi
pre
poru
ke z
a pr
aksu
oc
jene
kva
litet
e.
qual
ity a
ssur
ance
osig
uran
je k
valit
ete
CA
Es
will
nev
erth
eles
s ne
ed t
o en
sure
tha
t th
e qu
ality
as
sura
nce
syst
em i
s de
sign
ed t
o m
anag
e or
min
imiz
e th
reat
s to
aud
itor i
ndep
ende
nce
or o
bjec
tivity
.
Gla
vni r
eviz
or ip
ak tr
eba
osig
urat
i da
sust
av o
sigu
ranj
a kv
alite
te s
adrž
i mog
ućno
st z
a re
gula
ciju
ili u
blaž
avan
je
prije
tnji
neza
visn
osti
i obj
ektiv
nost
i rev
izor
a.
qual
ity a
ssur
ance
and
im
prov
emen
t pro
gram
prog
ram
osi
gura
nja
i pob
oljš
anja
kv
alite
te
The
chie
f aud
it ex
ecut
ive
shou
ld d
evel
op a
nd m
aint
ain
a qu
ality
ass
uran
ce a
nd im
prov
emen
t pro
gram
that
cov
ers
all a
spec
ts o
f th
e in
tern
al a
udit
activ
ity a
nd c
ontin
uous
ly
mon
itors
its
effe
ctiv
enes
s.
Gla
vni
revi
zor
treba
ra
zviti
i
održ
avat
i pr
ogra
m
osig
uran
ja i
pob
oljš
anja
kva
litet
e ko
ji će
pok
riti
sve
aspe
kte
djel
atno
sti
inte
rne
revi
zije
, te
sta
lno
prat
iti
njeg
ovu
učin
kovi
tost
.
Qua
lity
Ass
uran
ce R
evie
wre
vizi
ja il
i pre
gled
pro
gram
a os
igur
anja
kva
litet
e (Q
AR
)
Per
iodi
cally
, the
CA
E s
houl
d sc
hedu
le a
qua
lity
assu
ranc
e re
view
of
th
e en
viro
nmen
tal
audi
t fu
nctio
n if
it is
or
gani
zatio
nally
inde
pend
ent o
f the
inte
rnal
aud
it ac
tivity
.
Gla
vni
revi
zor
treba
po
vrem
eno
zaka
zati
revi
ziju
pr
ogra
ma
osig
uran
ja k
valit
ete
funk
cije
zaš
tite
okol
iša,
u
sluč
aju
kada
je ta
funk
cija
org
aniz
acijs
ki n
ezav
isna
od
dje
latn
osti
inte
rne
revi
zije
.
qual
ity a
ssur
ance
revi
ewer
revi
zor i
li oc
jenj
ivač
pro
gram
a os
igur
anja
kva
litet
eTh
is i
nfor
mat
ion
shou
ld b
e di
sclo
sed
to e
xter
nal
qual
ity
assu
ranc
e re
view
ers.
Ovi
pod
aci m
oraj
u bi
ti do
stup
ni v
anjs
kim
ocj
enjiv
ačim
a pr
ogra
ma
osig
uran
ja k
valit
ete.
qual
ity a
ssur
ance
sys
tem
sust
av o
sigu
ranj
a kv
alite
te
Mor
eove
r, ev
en w
here
the
aud
it fu
nctio
n is
not
sub
ject
to
go
vern
ing
rule
s th
at
rest
rict
non-
audi
t (c
onsu
lting
) se
rvic
es,
CA
Es
will
nev
erth
eles
s ne
ed t
o en
sure
tha
t th
e qu
ality
ass
uran
ce s
yste
m is
des
igne
d to
man
age
or
min
imiz
e th
reat
s to
aud
itor i
ndep
ende
nce
or o
bjec
tivity
.
Što
više
, ča
k i u
slu
čaje
vim
a ka
da r
eviz
ijska
fun
kcija
ne
pod
lijež
e pr
opis
ima
koji
ogra
niča
vaju
ner
eviz
ijske
(s
avje
tnič
ke) u
slug
e, g
lavn
i rev
izor
ipak
treb
a os
igur
ati
da
sust
av
osig
uran
ja
kval
itete
sa
drži
m
oguć
nost
za
reg
ulac
iju i
li ub
laža
vanj
e pr
ijetn
ji ne
zavi
snos
ti i
obje
ktiv
nost
i rev
izor
a.
qual
ity c
ontro
lko
ntro
la k
valit
ete
This
doc
umen
tatio
n sh
ould
be
prov
ided
to e
xter
nal q
ualit
y co
ntro
l rev
iew
ers
durin
g th
e Q
AR
eng
agem
ent.
Ova
do
kum
enta
cija
tre
ba
biti
dost
upna
va
njsk
im
ocje
njiv
ačim
a ko
ntro
le k
valit
ete
u tij
eku
anga
žman
a os
igur
anja
kva
litet
e is
traži
vačk
og ra
da.
352
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
quar
terly
fina
ncia
l rep
ortin
gtro
mje
sečn
o fin
anci
jsko
iz
vješ
ćiva
nje
Thes
e re
com
men
ded
actio
ns a
re a
lso
offe
red
as b
est
prac
tices
to
no
n-pu
blic
ly
held
co
mpa
nies
an
d ot
her
orga
niza
tions
see
king
to
adop
t si
mila
r pr
oces
ses
over
qu
arte
rly fi
nanc
ial r
epor
ting.
Ove
pre
poru
ke t
akođ
er s
luže
kao
prim
jer
najb
olje
pr
akse
za
podu
zeća
izv
an j
avno
g se
ktor
a, t
e dr
uge
orga
niza
cije
ko
je
žele
us
vojit
i sl
ične
pr
oces
e za
tro
mje
sečn
o fin
anci
jsko
izvj
ešći
vanj
e.
rand
om s
ampl
esl
učaj
ni u
zora
kFo
r sel
ectio
n on
reco
rds,
com
mon
met
hods
are
: Ran
dom
S
ampl
e (s
tatis
tical
sa
mpl
e),
Hap
haza
rd
Sam
ple
(non
st
atis
tical
).
Za o
dabi
r po
data
ka,
uobi
čaje
ne m
etod
e su
: sl
učaj
ni
uzor
ak
(sta
tistič
ki
uzor
ak),
nasu
mič
ni
uzor
ak
(nes
tatis
tički
).
rand
om s
ampl
ing
sluč
ajno
uzo
rkov
anje
Ran
dom
sa
mpl
ing
-ens
ures
th
at
all
com
bina
tions
of
sa
mpl
ing
units
in th
e po
pula
tion
have
an
equa
l cha
nce
of
sele
ctio
n.
Slu
čajn
o uz
orko
vanj
e os
igur
ava
da s
ve k
ombi
naci
je
jedi
nica
uzo
rka
u po
pula
ciji
imaj
u je
dnak
u pr
iliku
za
odab
ir.
regu
latio
nspr
opis
iP
rohi
bite
d bu
sine
ss a
ctiv
ities
, su
ch a
s th
ose
that
vio
late
go
vern
men
t sta
tute
s, ru
les,
regu
latio
ns, o
r con
tract
s.
Zabr
anje
ne
posl
ovne
ak
tivno
sti,
popu
t kr
šenj
a za
kons
kih
prav
ila, p
ropi
sa il
i ugo
vora
.
regu
lato
rsre
gula
torn
a tij
ela
Sta
keho
lder
s co
uld
incl
ude
the
audi
t com
mitt
ee, e
xecu
tive
man
agem
ent,
exte
rnal
gov
ernm
ent b
odie
s an
d re
gula
tors
, an
d th
e ex
tern
al a
udito
rs.
Nos
itelji
int
eres
a m
ogu
uklju
čiva
ti re
vizi
jsko
vije
će,
izvr
šno
ruko
vods
tvo,
van
jska
vla
dina
tije
la i r
egul
ator
na
tijel
a te
van
jske
revi
zore
.
regu
lato
ry c
ompl
ianc
e pr
ogra
mpr
ogra
m p
oštiv
anja
zak
onsk
e re
gula
tive
Inte
rnal
aud
itors
sho
uld
cons
ider
the
follo
win
g su
gges
tions
w
hen
eval
uatin
g an
org
aniz
atio
n’s
regu
lato
ry c
ompl
ianc
e pr
ogra
ms.
Inte
rni r
eviz
ori t
reba
ju u
zeti
u ob
zir s
ljede
će p
rijed
loge
pr
iliko
m o
cjen
jivan
ja p
rogr
ama
pošt
ivan
ja z
akon
ske
regu
lativ
e or
gani
zaci
je.
repo
rting
pro
cess
proc
es iz
vješ
ćiva
nja
The
occa
sion
al p
erfo
rman
ce o
f no
n-au
dit
wor
k by
the
in
tern
al
audi
tor,
with
fu
ll di
sclo
sure
in
th
e re
porti
ng
proc
ess,
wou
ld n
ot n
eces
saril
y im
pair
inde
pend
ence
.
Pov
rem
eno
obav
ljanj
e ne
revi
zijs
kih
posl
ova
od s
trane
in
tern
ih r
eviz
ora,
uz
potp
uno
razo
tkriv
anje
u p
roce
su
izvj
ešći
vanj
a, n
e m
ora
nužn
o on
emog
ućiti
njih
ovu
neza
visn
ost.
repo
rting
rela
tions
hip
linija
odg
ovor
nost
iIn
tern
al a
udito
rs s
houl
d be
ale
rt to
the
pot
entia
l ris
ks
that
may
res
ult
from
the
org
aniz
atio
nal
plac
emen
t an
d re
porti
ng re
latio
nshi
ps o
f env
ironm
enta
l aud
itors
.
Inte
rni
revi
zori
mor
aju
spre
mno
uo
čava
ti m
oguć
e riz
ike
koji
potje
ču o
d or
gani
zaci
jsko
g po
loža
ja i
linija
od
govo
rnos
ti re
vizo
ra z
aštit
e ok
oliš
a.
353
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
resi
dual
risk
rezi
dual
ni ri
zik;
pre
osta
li riz
ik
Ass
ess
the
desi
gn a
nd o
pera
ting
effe
ctiv
enes
s of
fra
ud-
rela
ted
cont
rols
; en
sure
tha
t au
dit
plan
s an
d pr
ogra
ms
addr
ess
resi
dual
risk
and
inco
rpor
ate
fraud
aud
its; e
valu
ate
the
desi
gn o
f fa
cilit
ies
from
a f
raud
or
thef
t pe
rspe
ctiv
e;
and
revi
ew p
ropo
sed
chan
ges
to l
aws,
reg
ulat
ions
, or
sy
stem
s, a
nd th
eir i
mpa
cts
on c
ontro
ls.
Oci
jeni
ti pl
an
i ra
dnu
učin
kovi
tost
ko
ntro
la
za
sprje
čava
nje
prije
vare
; os
igur
ati d
a re
vizi
jski
pla
novi
i p
rogr
ami u
klju
čuju
rezi
dual
ni ri
zik
i ist
rage
prij
evar
e;
ocije
niti
nacr
t pr
osto
rija
sa
stan
oviš
ta
prije
vare
ili
kr
ađe;
te o
bavi
ti pr
egle
d pr
edlo
ženi
h iz
mje
ne z
akon
a,
prop
isa
ili s
usta
va, t
e nj
ihov
a uč
inka
na
kont
role
.
revi
ew iz
vrši
ti pr
egle
d ili
ocj
enjiv
anje
In th
ose
inst
ance
s w
here
the
envi
ronm
enta
l aud
it fu
nctio
n re
ports
to s
omeo
ne o
ther
than
the
CA
E, t
he C
AE
sho
uld
offe
r to
rev
iew
the
aud
it pl
an a
nd t
he p
erfo
rman
ce o
f en
gage
men
ts.
U s
luča
jevi
ma
kada
fun
kcija
rev
izije
zaš
tite
okol
iša
nije
odg
ovor
na g
lavn
om re
vizo
ru, g
lavn
i rev
izor
treb
a po
nudi
ti us
luge
pre
gled
a re
vizi
jsko
g pl
ana
i uč
inka
an
gažm
ana.
revi
ew p
roce
dure
spo
stup
ci p
regl
eda
revi
zije
The
inte
rnal
aud
itor’s
obj
ectiv
ity is
not
adv
erse
ly a
ffect
ed
whe
n th
e au
dito
r re
com
men
ds
stan
dard
s of
co
ntro
l fo
r sy
stem
s or
re
view
s pr
oced
ures
be
fore
th
ey
are
impl
emen
ted.
Obj
ektiv
nost
inte
rnog
revi
zora
nije
nar
ušen
a da
vanj
em
prep
oruk
a za
sta
ndar
de k
ontro
la s
usta
va il
i pos
tupa
ka
revi
zije
prij
e nj
ihov
a pr
ovođ
enja
.
revi
ew te
amoc
jenj
ivač
ki ti
mTh
e fir
st a
ppro
ach
is a
full
exte
rnal
ass
essm
ent c
ondu
cted
by
a q
ualif
ied,
ind
epen
dent
ext
erna
l re
view
er o
r re
view
te
am.
Prv
i pr
istu
p uk
ljuču
je
sveo
buhv
atno
va
njsk
o vr
edno
vanj
e ko
je p
rovo
di s
tručn
i ne
zavi
sni
vanj
ski
ocje
njiv
ač il
i ocj
enjiv
ački
tim
.
risk
rizik
The
CA
E s
houl
d ev
alua
te t
he o
rgan
izat
iona
l pl
acem
ent
and
inde
pend
ence
of t
he e
nviro
nmen
tal a
udit
func
tion
to
ensu
re th
at s
igni
fican
t mat
ters
resu
lting
from
ser
ious
risk
s to
the
ente
rpris
e ar
e re
porte
d up
the
chai
n of
com
man
d to
th
e au
dit o
r oth
er c
omm
ittee
of t
he g
over
ning
boa
rd.
Gla
vni
revi
zor
treba
oci
jeni
ti or
gani
zaci
jski
pol
ožaj
i
neza
visn
ost
funk
cije
rev
izije
zaš
tite
okol
iša,
kak
o bi
osi
gura
o da
se
znač
ajna
pita
nja
u sv
ezi
tešk
ih
rizik
a za
pod
uzeć
e po
lini
ji od
govo
rnos
ti pr
iopć
avaj
u re
vizi
jsko
m il
i dru
gom
vije
ću U
prav
nog
odbo
ra.
risk
anal
ysis
anal
iza
rizik
aTh
is te
chni
que
incl
udes
aut
omat
ed r
isk
anal
ysis
, sys
tem
so
ftwar
e, a
nd c
ontro
l obj
ectiv
es s
oftw
are
pack
ages
.
Ova
te
hnik
a uk
ljuču
je
auto
mat
sku
anal
izu
rizik
a,
prog
ram
sku
opre
mu
sust
ava
te p
rogr
amsk
e pa
kete
ko
ntro
lnih
cilj
eva.
risk
appe
tite
apet
it za
rizi
kom
risk
asse
ssm
ent
ocje
na ri
zika
CA
E r
epor
ting
lines
are
als
o cr
itica
l to
ens
urin
g th
e ap
prop
riate
flo
w
of
info
rmat
ion
and
acce
ss
to
key
exec
utiv
es a
nd m
anag
ers
that
are
the
foun
datio
ns o
f ris
k as
sess
men
t and
repo
rting
of r
esul
ts o
f aud
it ac
tiviti
es.
Lini
je
odgo
vorn
osti
glav
nog
revi
zora
od
kl
jučn
e su
va
žnos
ti za
os
igur
anje
od
gova
raju
ćeg
prot
oka
info
rmac
ija,
te p
ristu
pa d
o kl
jučn
ih č
lano
va iz
vršn
og
i dru
gog
ruko
vods
tva
koji
su n
osite
lji p
roce
sa o
cjen
e riz
ika
i izv
ješć
ivan
ja re
zulta
ta d
jela
tnos
ti re
vizi
je.
354
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
risk
asse
ssm
ent p
roce
dure
spo
stup
ci p
rocj
ene
rizik
ase
curit
y pol
icie
s (P
O6)
, allo
catio
n of
secu
rity r
espo
nsib
ilitie
s (P
O4)
, ris
k as
sess
men
t pro
cedu
res
(PO
9) a
nd p
roce
dure
s fo
r mon
itorin
g co
mpl
ianc
e w
ith it
s se
curit
y po
licie
s (M
1).
Pol
itike
si
gurn
osti
(PO
6),
Dod
jela
za
duže
nja
za
sigu
rnos
t (P
O4)
, P
ostu
pci
proc
jene
riz
ika
(PO
9),
te
Pos
tupc
i za
pr
aćen
je
sukl
adno
sti
s po
litik
ama
sigu
rnos
ti (M
1).
risk
fact
ors
čim
beni
ci ri
zika
Mos
t ris
k m
odel
s ut
ilize
ris
k fa
ctor
s to
est
ablis
h th
e pr
iorit
y of
eng
agem
ents
suc
h as
: fin
anci
al im
pact
; as
set
liqui
dity
; m
anag
emen
t co
mpe
tenc
e;
qual
ity
of
inte
rnal
co
ntro
ls;
degr
ee o
f ch
ange
or
stab
ility
; tim
e of
last
aud
it en
gage
men
t; co
mpl
exity
; em
ploy
ee
and
gove
rnm
ent
rela
tions
; etc
.
Već
ina
mod
ela
rizik
a ko
risti
čim
beni
ke
rizik
a pr
i ut
vrđi
vanj
u pr
iorit
eta
anga
žman
a,
kao
što
su:
finan
cijs
ki
učin
ak;
likvi
dnos
t im
ovin
e;
kval
iteta
up
ravl
janj
a;
kval
iteta
in
tern
ih
kont
rola
; st
upan
j pr
omje
ne i
li st
abiln
osti;
vrij
eme
zadn
jeg
revi
zijs
kog
anga
žman
a; s
lože
nost
; od
nosi
izm
eđu
zapo
slen
ika;
od
nosi
s v
lado
m; i
td.
risk
man
agem
ent
upra
vlja
nje
rizik
om
It he
lps
an o
rgan
izat
ion
acco
mpl
ish
its o
bjec
tives
by
brin
ging
a s
yste
mat
ic,
disc
iplin
ed a
ppro
ach
to e
valu
ate
and
impr
ove
the
effe
ctiv
enes
s of
ris
k m
anag
emen
t, co
ntro
l, an
d go
vern
ance
pro
cess
es.
Pom
aže
orga
niza
ciji u
ost
variv
anju
cilj
eva,
usv
ajan
jem
su
stav
nog
i dis
cipl
inira
nog
pris
tupa
ocj
eni i
pobo
ljšan
ju
učin
kovi
tost
i pr
oces
a up
ravl
janj
a riz
ikom
, ko
ntro
la i
ko
rpor
ativ
nog
upra
vlja
nja.
risk
man
agem
ent a
ctiv
ities
aktiv
nost
i upr
avlja
nja
rizik
omIn
crea
sing
ly,
the
CA
E i
s be
ing
aske
d to
tak
e a
mor
e si
gnifi
cant
rol
e in
the
orga
niza
tion’
s go
vern
ance
and
ris
k m
anag
emen
t act
iviti
es.
Gla
vni r
eviz
or p
rima
sve
više
zaht
jeva
za p
reuz
iman
jem
zn
ačaj
nije
ulo
ge u
pro
cesi
ma
korp
orat
ivno
g up
ravl
janj
a i u
prav
ljanj
a riz
ikom
.
risk
man
agem
ent a
nd c
ontro
l pr
oces
ses
proc
esi u
prav
ljanj
a riz
ikom
i ko
ntro
le
Inte
rnal
aud
itors
sho
uld
be o
bser
vant
of t
he e
ffect
iven
ess
of r
isk
man
agem
ent a
nd c
ontro
l pro
cess
es d
urin
g fo
rmal
co
nsul
ting
enga
gem
ents
.
Inte
rni
revi
zori
treba
ju
prat
iti
učin
kovi
tost
pr
oces
a up
ravl
janj
a riz
ikom
i
kont
role
tij
ekom
sl
ožen
ih
savj
etni
čkih
ang
ažm
ana.
risk
man
agem
ent p
roce
sspr
oces
upr
avlja
nja
rizik
omTh
e au
dit
univ
erse
will
nor
mal
ly b
e in
fluen
ced
by t
he
resu
lts o
f the
risk
man
agem
ent p
roce
ss.
Rez
ulta
ti pr
oces
a up
ravl
janj
a riz
ikom
obi
čno
imaj
u zn
atan
utje
caj n
a un
iver
zum
revi
zije
.
risk
man
agem
ent s
yste
msu
stav
upr
avlja
nja
rizik
omTh
e co
mpr
ehen
sive
sco
pe o
f w
ork
of i
nter
nal
audi
ting
shou
ld
prov
ide
reas
onab
le
assu
ranc
e th
at
the
risk
man
agem
ent s
yste
m is
effe
ctiv
e.
Sve
obuh
vatn
i dj
elok
rug
rada
int
erne
rev
izije
tre
ba
pruž
iti
razu
mno
uv
jere
nje
o uč
inko
vito
sti
sust
ava
upra
vlja
nja
rizik
om.
risk-
base
d pl
ans
plan
ovi t
emel
jeni
na
rizik
uTh
e ch
ief
audi
t ex
ecut
ive
shou
ld e
stab
lish
risk-
base
d pl
ans
to d
eter
min
e th
e pr
iorit
ies
of t
he i
nter
nal
audi
t ac
tivity
, con
sist
ent w
ith th
e or
gani
zatio
n s
goa
ls.
Gla
vni
revi
zor
treba
uv
rditi
pl
anov
e te
mel
jene
na
riz
iku,
u c
ilju
utvr
điva
nja
prio
ritet
a dj
elat
nost
i int
erne
re
vizi
je u
suk
ladn
osti
s ci
ljevi
ma
orga
niza
cije
.
355
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
rule
s of
con
duct
prav
ila p
onaš
anja
Inte
rpre
tatio
n of
Sta
ndar
d 24
40 a
nd S
tand
ard
2600
from
th
e In
tern
atio
nal S
tand
ards
for
the
Pro
fess
iona
l Pra
ctic
e of
Inte
rnal
Aud
iting
and
Rul
es o
f Con
duct
in th
e C
ode
of
Eth
ics
for I
nteg
rity
and
Con
fiden
tialit
y
Tum
ačen
je S
tand
arda
244
0 i
2600
Međ
unar
odni
h st
anda
rda
za
prof
esio
naln
u pr
aksu
in
tern
e re
vizi
je i
Pra
vila
pon
ašan
ja i
z E
tičko
g ko
deks
a za
vj
erod
osto
jnos
t i p
ovje
rljiv
ost i
nfor
mac
ija.
SA
CO
sigu
ranj
e kv
alite
te i
kont
rola
su
stav
a (S
AC
)
Add
ition
al r
esou
rces
for
pra
ctiti
oner
s ar
e: I
IA’s
Sys
tem
s A
ssur
ance
an
d C
ontro
l (S
AC
) pr
oduc
t an
d ot
her
tech
nolo
gy re
ports
and
ISA
CA
s p
ublic
atio
ns.
Dod
atni
res
ursi
za
djel
atni
ke s
u: O
sigu
ranj
e kv
alite
te
i ko
ntro
la
sust
ava
(SA
C)
u iz
danj
u IIA
-e,
drug
a te
hnol
oška
izvj
ešća
te iz
danj
a IS
AC
A.
sam
ple
item
uzor
ak; j
edin
ica
uzor
kaTh
e au
dito
r sh
ould
sel
ect
sam
ple
item
s in
suc
h a
way
th
at t
he s
ampl
e is
exp
ecte
d to
be
repr
esen
tativ
e of
the
po
pula
tion
rega
rdin
g th
e ch
arac
teris
tics
bein
g te
sted
.
Rev
izor
tre
ba v
ršiti
oda
bir
uzor
aka
na t
aj n
ačin
da
svak
i uz
orak
pre
dsta
vlja
prim
jer
popu
laci
je u
sve
zi
ispi
tani
h sv
ojst
ava.
sam
ple
size
velič
ina
uzor
ka
Whe
n de
term
inin
g sa
mpl
e si
ze,
the
audi
tor
shou
ld
cons
ider
the
sam
plin
g ris
k, t
he a
mou
nt o
f th
e er
ror
that
w
ould
be
acce
ptab
le a
nd t
he e
xten
t to
whi
ch e
rror
s ar
e ex
pect
ed.
Pri
utvr
điva
nju
velič
ine
uzor
ka,
revi
zor
treba
uze
ti u
obzi
r riz
ik u
zork
ovan
ja, k
olič
inu
prih
vatlj
ive
pogr
ješk
e,
te s
tupa
nj d
o ko
jeg
se p
ogrje
ške
oček
uju.
sam
plin
guz
orko
vanj
e
This
gu
idan
ce
is
not
inte
nded
to
re
pres
ent
all
the
proc
edur
es n
eces
sary
to
perfo
rm a
udit
sam
plin
g, b
ut
is s
impl
y a
reco
mm
ende
d co
re s
et o
f hi
gh le
vel a
udito
r re
spon
sibi
litie
s to
com
plem
ent
deta
iled
audi
t pl
anni
ng
effo
rts.
Ova
j N
aput
ak n
e sa
drži
sve
pos
tupk
e po
trebn
e za
re
vizi
jsko
uzo
rkov
anje
, ve
ć sa
mo
opće
nito
nav
odi
zadu
ženj
a re
vizo
ra u
sm
islu
dop
une
deta
ljnog
pla
na
revi
zije
.
sam
plin
g m
etho
dm
etod
e uz
orko
vanj
aFo
r tho
se th
at a
re a
sses
sed
as e
rror
s, th
e er
rors
sho
uld
be
proj
ecte
d as
app
ropr
iate
to th
e po
pula
tion,
if th
e sa
mpl
ing
met
hod
used
, is
stat
istic
ally
bas
ed.
Pog
rešk
e m
oraj
u bi
ti pr
ikla
dne
za
odgo
vara
juću
po
pula
ciju
, ak
o se
met
oda
uzor
kova
nja
tem
elji
na
stat
istic
i.
sam
plin
g ris
kriz
ik u
zork
ovan
ja
Sam
plin
g ris
k ar
ises
fro
m t
he p
ossi
bilit
y th
at t
he a
udito
r
s co
nclu
sion
may
be
diffe
rent
fro
m t
he c
oncl
usio
n th
at
wou
ld b
e re
ache
d if
the
entir
e po
pula
tion
wer
e su
bjec
ted
to th
e sa
me
audi
t pro
cedu
re.
Riz
ik
uzor
kova
nja
potje
če
od
mog
ućno
sti
da
se
zakl
juča
k re
vizo
ra r
azlik
uje
od z
aklju
čka
koji
bi s
e za
sniv
ao n
a is
pitiv
anju
čita
ve p
opul
acije
.
sam
plin
g un
itje
dini
ca u
zork
aFo
r co
mpl
ianc
e te
stin
g of
con
trols
, at
tribu
te s
ampl
ing
is
typi
cally
use
d, w
here
the
sam
plin
g un
it is
an
even
t or
tra
nsac
tion.
Za k
ontro
le i
spiti
vanj
a su
klad
nost
i ob
ično
se
koris
ti at
ribut
ivno
uzo
rkov
anje
, pr
i če
mu
je j
edin
ica
uzor
ka
poje
dini
dog
ađaj
ili t
rans
akci
ja.
356
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
Sar
bane
s-O
xley
Act
Zako
n S
arba
nes-
Oxl
eyS
ectio
n 30
2 of
th
e S
arba
nes-
Oxl
ey
Act
ou
tline
s th
e co
rpor
ate
resp
onsi
bilit
y fo
r fin
anci
al re
ports
, and
the
SE
C
has
issu
ed g
uida
nce
to im
plem
ent t
he a
ct.
Odj
elja
k 30
2.
Zako
na
Sar
bane
s-O
xley
na
vodi
za
duže
nja
podu
zeća
u s
vezi
fin
anci
jski
h iz
vješ
ća,
a S
EC
je o
bjav
io s
mje
rnic
e za
pro
vođe
nje
tog
zako
na.
scop
edj
elok
rug
The
audi
tor
shou
ld c
onsi
der
the
effe
ct o
f non
-IS c
ontro
ls
on th
e sc
ope
and
audi
t pro
cedu
res.
Rev
izor
tre
ba u
zeti
u ob
zir
učin
ak k
ontro
la k
oje
nisu
u
svez
i s
info
rmac
ijski
m s
usta
vim
a na
dje
lokr
ug i
pr
oced
ure
revi
zije
.
scop
e lim
itatio
nsog
rani
čenj
a dj
elok
ruga
The
CA
E s
houl
d co
nsid
er w
heth
er i
t is
app
ropr
iate
to
info
rm t
he b
oard
reg
ardi
ng s
cope
lim
itatio
ns t
hat
wer
e pr
evio
usly
com
mun
icat
ed to
and
acc
epte
d by
the
boar
d.
Gla
vni r
eviz
or tr
eba
razm
otrit
i je
li po
trebn
o iz
vije
stiti
up
ravu
o o
gran
ičen
jima
djel
okru
ga, k
oja
su p
reth
odno
pr
iopć
ena
i prih
vaće
na o
d st
rane
upr
ave.
scre
enin
g pr
oces
s p
roce
s od
abira
Use
of
a sc
reen
ing
proc
ess
for
non-
audi
t (c
onsu
lting
) pr
ojec
ts, w
ith li
mits
on
acce
ptin
g en
gage
men
ts th
at m
ight
th
reat
en o
bjec
tivity
.
Kor
ište
nje
proc
esa
odab
ira
za
nere
vizi
jske
(s
avje
tnič
ke) p
roje
kte,
s o
gran
ičen
jem
za
prih
vaća
nje
anga
žman
a ko
ji m
ogu
biti
prije
tnja
obj
ektiv
nost
i.
SE
CK
omis
ija z
a vr
ijedn
osni
ce i
burz
ovno
pos
lova
nje
(SE
C)
Whi
le s
uch
requ
irem
ents
are
spe
cific
ally
dire
cted
to U
.S.
regi
stra
nts
of t
he S
EC
, th
ey a
re a
lso
appl
icab
le t
o ov
er
1,30
0 fo
reig
n re
gist
rant
s.
Iako
su
ta
kvi
zaht
jevi
po
sebn
o na
mije
njen
i pr
ijavl
jeni
cim
a K
omis
ije z
a vr
ijedn
osni
ce i
bur
zovn
o po
slov
anje
(SE
C) u
SA
D-u
, oni
se
tako
đer o
dnos
e na
13
00 s
trani
h pr
ijavl
jeni
ka.
SE
C R
ules
Pra
vila
Kom
isije
za
vrije
dnos
nice
i b
urzo
vno
posl
ovan
je (S
EC
)
As
adop
ted,
SE
C R
ules
13a
-14
and
15d-
14 r
equi
re a
n is
suer
s
prin
cipa
l ex
ecut
ive
offic
er o
r of
ficer
s an
d th
e pr
inci
pal f
inan
cial
offi
cer o
r offi
cers
, or p
erso
ns p
erfo
rmin
g si
mila
r fu
nctio
ns,
to c
ertif
y in
eac
h qu
arte
rly a
nd a
nnua
l re
port,
inc
ludi
ng t
rans
ition
rep
orts
, fil
ed o
r su
bmitt
ed b
y th
e is
suer
und
er S
ectio
n 13
(a)
or 1
5(d)
of t
he E
xcha
nge
Act
.
Pre
ma
Pra
vilim
a 13
a-14
i
15d-
14
Kom
isije
za
vr
ijedn
osni
ce i
bur
zovn
o po
slov
anje
(S
EC
), gl
avni
iz
vršn
i dire
ktor
ili d
irekt
ori,
te g
lavn
i fin
anci
jski
dire
ktor
ili
dire
ktor
i, ili
oso
be k
oje
obav
ljaju
slič
ne f
unkc
ije
za iz
dava
telja
, u
svak
om t
rom
jese
čnom
i go
dišn
jem
iz
vješ
ću, u
klju
čuju
ći p
rijel
azna
izvj
ešća
, koj
e iz
dava
telj
podn
osi
prem
a O
djel
jku
13(a
) ili
15(
d) Z
akon
a o
burz
ovno
m p
oslo
vanj
u.
Sec
uriti
es a
nd E
xcha
nge
Com
mis
sion
Kom
isija
za
vrije
dnos
nice
i bu
rzov
no p
oslo
vanj
e (S
EC
)
Inte
rnal
aud
itors
sho
uld
cons
ider
the
fol
low
ing
guid
ance
re
gard
ing
quar
terly
fin
anci
al
repo
rts,
disc
losu
res,
an
d m
anag
emen
t cer
tific
atio
ns r
elat
ed to
req
uire
men
ts o
f the
U
.S. S
ecur
ities
and
Exc
hang
e C
omm
issi
on (S
EC
).
Inte
rni r
eviz
ori t
reba
ju u
zeti
u ob
zir s
ljede
će s
mje
rnic
e u
svez
i tro
mje
sečn
ih fi
nanc
ijski
h iz
vješ
ća, o
bjav
ljiva
nja
rezu
ltata
rev
izije
i o
vjer
a ru
kovo
dstv
a, u
sve
zi s
a za
htje
vim
a K
omis
ije
za
vrije
dnos
nice
i
burz
ovno
po
slov
anje
(SE
C).
357
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
secu
rity
polic
ies
polit
ike
sigu
rnos
ti
An
audi
t of
the
ade
quac
y of
sec
urity
par
amet
ers
in a
sy
stem
, fo
r ex
ampl
e U
NIX
, W
indo
ws
NT,
RA
CF,
sho
uld
incl
ude
cons
ider
atio
n of
man
agem
ent’s
sec
urity
pol
icie
s (P
O6)
, al
loca
tion
of
secu
rity
resp
onsi
bilit
ies
(PO
4),
risk
asse
ssm
ent
proc
edur
es (
PO
9) a
nd p
roce
dure
s fo
r m
onito
ring
com
plia
nce
with
its
secu
rity
polic
ies
(M1)
.
Rev
izija
ade
kvat
nost
i pa
ram
etar
a si
gurn
osti
neko
g su
stav
a, n
pr. U
NIX
, Win
dow
s N
T ili
RA
CF,
treb
a uz
eti
u ob
zir
Pol
itike
sig
urno
sti (
PO
6),
Dod
jele
zad
užen
ja
za s
igur
nost
(P
O4)
, P
ostu
pke
proc
jene
riz
ika
(PO
9),
te P
ostu
pke
za p
raće
nje
sukl
adno
sti
s po
litik
ama
sigu
rnos
ti (M
1).
secu
rity
resp
onsi
bilit
ies
zadu
ženj
a za
sig
urno
st
An
audi
t of
the
ade
quac
y of
sec
urity
par
amet
ers
in a
sy
stem
, fo
r ex
ampl
e U
NIX
, W
indo
ws
NT,
RA
CF,
sho
uld
incl
ude
cons
ider
atio
n of
man
agem
ent’s
sec
urity
pol
icie
s (P
O6)
, al
loca
tion
of
secu
rity
resp
onsi
bilit
ies
(PO
4),
risk
asse
ssm
ent
proc
edur
es (
PO
9) a
nd p
roce
dure
s fo
r m
onito
ring
com
plia
nce
with
its
secu
rity
polic
ies
(M1)
.
Rev
izija
ade
kvat
nost
i pa
ram
etar
a si
gurn
osti
neko
g su
stav
a, n
pr. U
NIX
, Win
dow
s N
T ili
RA
CF,
treb
a uz
eti
u ob
zir
Pol
itike
sig
urno
sti (
PO
6),
Dod
jele
zad
užen
ja
za s
igur
nost
(P
O4)
, P
ostu
pke
proc
jene
riz
ika
(PO
9),
te P
ostu
pke
za p
raće
nje
sukl
adno
sti
s po
litik
ama
sigu
rnos
ti (M
1).
secu
rity
risk
rizik
sig
urno
sti
Sys
tem
sec
urity
ris
ks r
elat
ing
to u
naut
horiz
ed a
cces
s to
sy
stem
s an
d/or
dat
a.
Riz
ici s
igur
nost
i sus
tava
u s
vezi
neo
vlaš
teno
g pr
istu
pa
sust
avim
a i/i
li po
daci
ma.
self-
asse
ssm
ent
sam
ovre
dnov
anje
Ong
oing
inte
rnal
ass
essm
ents
(th
e te
rm is
syn
onym
ous
with
the
term
s in
tern
al r
evie
w a
nd s
elf-a
sses
smen
t use
d el
sew
here
in
th
e P
ract
ice
Adv
isor
ies)
sh
ould
be
an
in
tegr
al p
art
of t
he d
ay-to
-day
sup
ervi
sion
, re
view
, an
d m
easu
rem
ent o
f the
inte
rnal
aud
it ac
tivity
, as
set f
orth
in
Pra
ctic
e A
dvis
ory
1311
-1, p
arag
raph
s tw
o an
d th
ree.
Sta
lno
inte
rno
vred
nova
nje
(ova
j iz
raz
isto
vjet
an j
e iz
razi
ma
“inte
rni p
regl
ed” i
“sam
ovre
dnov
anje
” koj
i se
koris
te n
a dr
ugim
mje
stim
a u
Nap
utci
ma
za p
raks
u in
tern
e re
vizi
je)
treba
biti
sas
tavn
i dio
sva
kodn
evno
g pr
oces
a na
dzor
a,
preg
leda
i
mje
renj
a dj
elat
nost
i in
tern
e re
vizi
je, k
ao š
to s
e na
vodi
u N
aput
ku z
a pr
aksu
in
tern
e re
vizi
je 1
311-
1, O
djel
jak
2 i 3
.
self-
asse
ssm
ent p
roce
sspr
oces
sam
ovre
dnov
anja
Det
erm
ine
the
effe
ctiv
enes
s of
m
anag
emen
t’s
self-
asse
ssm
ent p
roce
sses
thro
ugh
obse
rvat
ions
, dire
ct te
sts
of c
ontro
l and
mon
itorin
g pr
oced
ures
, tes
ting
the
accu
racy
of
inf
orm
atio
n us
ed i
n m
onito
ring
activ
ities
, an
d ot
her
appr
opria
te te
chni
ques
.
Odr
editi
uč
inko
vito
st
proc
esa
sam
ovre
dnov
anja
ru
kovo
dstv
a pu
tem
pr
imje
daba
, iz
ravn
ih
test
ova
kont
rola
i
proc
esa
nadz
ora,
te
stira
nja
točn
osti
poda
taka
koj
i se
koris
te u
nad
zorn
im a
ktiv
nost
ima,
te
prim
jeno
m d
rugi
h od
gova
raju
ćim
tehn
ika.
358
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
seni
or e
xecu
tives
viso
ko ru
kovo
dstv
o
Con
sulti
ng e
ngag
emen
ts c
anno
t be
rend
ered
in a
man
ner
that
mas
ks in
form
atio
n th
at in
the
chie
f aud
it ex
ecut
ive
s
(CA
E) j
udgm
ent s
houl
d be
pre
sent
ed to
sen
ior e
xecu
tives
an
d bo
ard
mem
bers
.
Sav
jetn
ički
ang
ažm
ani n
e sm
iju o
mog
ućiti
prik
rivan
je
poda
taka
koj
i po
miš
ljenj
u gl
avno
g re
vizo
ra tr
ebaj
u bi
ti ob
javl
jeni
vis
okom
ruko
vods
tvu
i čla
novi
ma
upra
ve.
seni
or m
anag
emen
tvi
soko
ruko
vods
tvo
The
resu
lt of
th
is
perio
dic
asse
ssm
ent
shou
ld
be
com
mun
icat
ed to
sen
ior m
anag
emen
t and
the
boar
d.R
ezul
tati
ovog
pov
rem
enog
vre
dnov
anja
tre
baju
se
prio
pćav
ati v
isok
om ru
kovo
dstv
u i u
prav
i.
serv
ice
leve
l agr
eem
ent
ugov
or o
razi
ni u
slug
e (S
LA)
The
audi
tor s
houl
d co
nsid
er re
view
ing
such
thin
gs a
s th
e co
ntra
ct, s
ervi
ce le
vel a
gree
men
t, po
licie
s an
d pr
oced
ures
be
twee
n th
e th
ird p
arty
and
the
orga
niza
tion.
Rev
izor
treb
a uz
eti u
obz
ir pr
egle
d ug
ovor
a, u
govo
ra
o ra
zini
usl
uge
(SLA
), te
pol
itika
i pr
oced
ura
izm
eđu
treći
h os
oba
i org
aniz
acije
.
Ser
vice
Lev
el A
gree
men
tsug
ovor
i o ra
zini
usl
uge
(SLA
)Th
e au
dito
r sh
ould
con
side
r su
ch t
hing
s as
exi
sten
ce
of S
ervi
ce L
evel
Agr
eem
ents
(S
LAs)
with
per
form
ance
m
onito
ring
proc
edur
es.
U p
roce
sim
a pr
aćen
ja u
čink
ovito
sti,
revi
zor t
reba
uze
ti u
obzi
r pos
toja
nje
Ugo
vora
o ra
zini
usl
uge.
serv
ice
prov
ider
pruž
atel
j usl
uge
An
outs
ide
serv
ice
prov
ider
is a
per
son
or fi
rm, i
ndep
ende
nt
of th
e or
gani
zatio
n, w
ho h
as s
peci
al k
now
ledg
e, s
kill,
and
ex
perie
nce
in a
par
ticul
ar d
isci
plin
e.
Van
jski
pru
žate
lj us
luga
je o
soba
ili t
vrtk
a, n
ezav
isna
od
org
aniz
acije
, koj
a im
a po
sebn
a zn
anja
, vje
štin
e ili
is
kust
vo u
poj
edin
oj d
isci
plin
i.
serv
ice
user
man
agem
ent
ruko
vods
tvo
koris
nika
usl
uga
The
repo
rt sh
ould
spe
cify
any
res
trict
ions
on
dist
ribut
ion
whi
ch t
he a
udito
r or
ser
vice
use
r m
anag
emen
t ag
ree
to
impo
se.
Izvj
ešće
tre
ba n
aves
ti sv
ako
ogra
niče
nje
rasp
odje
le
koje
mog
u po
stav
iti r
eviz
or i
li ru
kovo
dstv
o ko
risni
ka
uslu
ge.
sign
ifica
nce
znač
aj; v
ažno
st
SLA
sug
ovor
i o ra
zini
usl
uge
(SLA
)Th
e au
dito
r sh
ould
con
side
r su
ch t
hing
s as
exi
sten
ce
of S
ervi
ce L
evel
Agr
eem
ents
(S
LAs)
with
per
form
ance
m
onito
ring
proc
edur
es.
U p
roce
sim
a pr
aćen
ja u
čink
ovito
sti,
revi
zor t
reba
uze
ti u
obzi
r pos
toja
nje
Ugo
vora
o ra
zini
usl
uge.
sour
ce c
ode
izvo
rni k
ôd
Whe
n us
ing
appl
icat
ion
softw
are
traci
ng a
nd m
appi
ng,
the
audi
tor
shou
ld c
onfir
m t
hat
the
sour
ce c
ode
bein
g ev
alua
ted
gene
rate
d th
e ob
ject
pro
gram
cur
rent
ly b
eing
us
ed in
pro
duct
ion.
Pril
ikom
ko
rište
nja
sust
ava
trasi
ranj
a i
map
iranj
a ap
likac
ijske
pr
ogra
msk
e op
rem
e,
revi
zor
treba
po
tvrd
iti d
a je
izv
orni
kôd
koj
i se
isp
ituje
mje
sto
nast
anka
obj
ektn
og p
rogr
ama
koji
se tr
enut
no k
oris
ti u
prod
ukci
ji.
359
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
staf
fing
plan
plan
zap
ošlja
vanj
a
The
chie
f au
dit
exec
utiv
e (C
AE
) sh
ould
sub
mit
annu
ally
to
the
boa
rd f
or a
ppro
val,
and
seni
or m
anag
emen
t as
ap
prop
riate
, a s
umm
ary
of th
e in
tern
al a
udit
activ
ity’s
wor
k sc
hedu
le, s
taffi
ng p
lan,
and
fina
ncia
l bud
get.
Gla
vni
revi
zor
treba
jed
nom
god
išnj
e po
dnije
ti na
od
obre
nje
upra
vi,
te
ako
je
potre
bno
i vi
soko
m
ruko
vods
tvu,
saž
etak
rad
nog
rasp
ored
a dj
elat
nost
i in
tern
e re
vizi
je,
plan
za
pošl
java
nja,
te
fin
anci
jski
pr
orač
un.
stak
ehol
der
nosi
telj
inte
resa
; dio
niča
r
Und
er th
e re
cent
mov
e to
a st
ricte
r leg
isla
tive
and
regu
lato
ry
clim
ate
rega
rdin
g fin
anci
al re
porti
ng a
roun
d th
e gl
obe,
the
CA
E s
repo
rting
line
s sh
ould
be
appr
opria
te to
ena
ble
the
inte
rnal
aud
it ac
tivity
to m
eet a
ny in
crea
sed
need
s of
the
audi
t com
mitt
ee o
r oth
er s
igni
fican
t sta
keho
lder
s.
Rad
i ne
davn
ih
mje
ra
u ci
lju
post
izan
ja
stro
žeg
zako
nsko
g i r
egul
ator
nog
ozra
čja
u sv
ezi f
inan
cijs
kog
izvj
ešći
vanj
a u
cije
lom
sv
ijetu
, lin
ije
odgo
vorn
osti
glav
nog
revi
zora
m
oraj
u na
od
gova
raju
ći
nači
n om
oguć
iti d
jela
tnos
ti in
tern
e re
vizi
je z
adov
olja
vanj
e sv
ih p
oveć
anih
pot
reba
rev
izijs
kog
vije
ća i
li dr
ugih
zn
ačaj
nih
nosi
telja
inte
resa
.
stan
dard
sst
anda
rdi
Per
form
ing
an a
naly
sis
of th
e co
ntro
ls fo
r crit
ical
acc
ount
ing
polic
ies
and
com
parin
g th
em w
ith p
refe
rred
pra
ctic
es (e
.g.,
trans
actio
ns in
whi
ch q
uest
ions
are
rais
ed a
bout
reve
nue
reco
gniti
on o
r of
f-bal
ance
she
et a
ccou
ntin
g tre
atm
ent
shou
ld
be
revi
ewed
fo
r co
mpl
ianc
e w
ith
appr
opria
te
gene
rally
acc
epte
d ac
coun
ting
stan
dard
s).
Pro
vođe
nje
anal
ize
kont
rola
u
smis
lu
prim
jene
kl
jučn
ih r
ačun
ovod
stve
nih
polit
ika,
te
uspo
ređi
vanj
e s
usvo
jeno
m
prak
som
(n
pr.
potre
bno
je
prov
jerit
i tra
nsak
cije
u k
ojim
a se
pos
tavl
jaju
pita
nja
o pr
izna
nju
prih
oda,
ili
tre
tman
va
nbila
nčno
g ra
čuno
vods
tva,
ra
di s
ukla
dnos
ti s
odgo
vara
jući
m o
pćep
rihva
ćeni
m
raču
novo
dstv
enim
sta
ndar
dim
a).
Sta
ndar
ds fo
r the
Pro
fess
iona
l P
ract
ice
of In
tern
al A
uditi
ng
(the
Sta
ndar
ds)
Sta
ndar
di z
a pr
ofes
iona
lnu
prak
su in
tern
e re
vizi
je (S
tand
ardi
)
stat
istic
al s
ampl
est
atis
tički
uzo
rak
For s
elec
tion
on re
cord
s, c
omm
on m
etho
ds a
re: R
ando
m
Sam
ple
(sta
tistic
al
sam
ple)
, H
apha
zard
S
ampl
e (n
on
stat
istic
al).
Za o
dabi
r po
data
ka,
uobi
čaje
ne m
etod
e su
: sl
učaj
ni
uzor
ak
(sta
tistič
ki
uzor
ak),
nasu
mič
ni
uzor
ak
(nes
tatis
tički
).
stat
istic
al s
ampl
ing
stat
istič
ko u
zork
ovan
je
For
exam
ple,
spe
cial
ists
in e
nter
pris
e ris
k m
anag
emen
t, st
atis
tical
sa
mpl
ing,
op
erat
ions
m
onito
ring
syst
ems,
or
co
ntro
l se
lf-as
sess
men
t m
ay
parti
cipa
te
in
certa
in
segm
ents
of t
he a
sses
smen
t.
Na
prim
jer,
u od
ređe
nim
seg
men
tima
vred
nova
nja
mog
u su
djel
ovat
i sp
ecija
listi
za u
prav
ljanj
e riz
ikom
, st
atis
tičko
uz
orko
vanj
e,
rad
nadz
orni
h su
stav
a ili
ko
ntro
lno
sam
ovre
dnov
anje
.
360
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
stat
istic
al s
ampl
ing
met
hods
met
ode
stat
istič
kog
uzor
kova
nja
The
audi
tor
shou
ld s
elec
t sa
mpl
e ite
ms
in s
uch
a w
ay
that
the
sam
ple
is e
xpec
ted
to b
e re
pres
enta
tive
of t
he
popu
latio
n re
gard
ing
the
char
acte
ristic
s be
ing
test
ed (i
.e.,
usin
g st
atis
tical
sam
plin
g m
etho
ds).
Rev
izor
tre
ba v
ršiti
oda
bir
uzor
aka
na t
aj n
ačin
da
svak
i uz
orak
pre
dsta
vlja
prim
jer
popu
laci
je u
sve
zi
ispi
tani
h sv
ojst
ava
(tj. k
oriš
tenj
em s
tatis
tički
h m
etod
a uz
orko
vanj
a).
stra
tific
atio
n s
tratif
ikac
ija
Stra
tific
atio
n is
the
pro
cess
of
divi
ding
a p
opul
atio
n in
to
sub
popu
latio
ns
with
si
mila
r ch
arac
teris
tics
expl
icitl
y de
fined
so
that
eac
h sa
mpl
ing
unit
can
belo
ng to
onl
y on
e st
ratu
m.
Stra
tific
iranj
e je
pro
ces p
odje
le p
opul
acije
u p
odsk
upin
e s
jasn
o de
finira
nim
zaj
edni
čkim
svo
jstv
ima,
pre
ma
čem
u sv
aka
jedi
nica
uzo
rka
prip
ada
sam
o je
dnom
sl
oju.
syst
em c
onve
rsio
n te
amtim
za
konv
erzi
ju s
usta
vapa
rtici
patio
n on
a m
erge
r and
acq
uisi
tion
team
or s
yste
m
conv
ersi
on te
am.
Sud
jelo
vanj
e u
radu
tim
a za
spa
janj
e i
preu
zim
anje
po
duze
ća il
i sku
pine
za
konv
erzi
ju s
usta
va.
syst
em fl
owch
arts
dija
gram
i tok
a su
stav
aR
epre
sent
atio
ns o
f th
ose
bein
g au
dite
d ca
n be
aud
it ev
iden
ce,
such
as
: W
ritte
n po
licie
s an
d pr
oced
ures
S
yste
m fl
owch
arts
.
Oči
tova
nja
obje
kata
revi
zije
mog
u se
ukl
juči
ti u
doka
ze
revi
zije
, npr
: pis
ane
polit
ike
i pro
cedu
re, t
e di
jagr
ame
toka
sus
tava
.
syst
emat
ic s
ampl
ing
sist
emat
sko
uzor
kova
nje
Sys
tem
atic
sam
plin
g in
volv
es s
elec
ting
sam
plin
g un
its
usin
g a
fixed
inte
rval
bet
wee
n se
lect
ions
the
first
inte
rval
ha
ving
a ra
ndom
sta
rt.
Sis
tem
atsk
o uz
orko
vanj
e uk
ljuču
je
odab
ir je
dini
ca
uzor
ka u
fik
snim
int
erva
lima,
uz
sluč
ajno
oda
bran
po
četa
k pr
vog
inte
rval
a.
Sys
tem
s A
ssur
ance
and
C
ontro
lO
sigu
ranj
e kv
alite
te i
kont
rola
su
stav
a (S
AC
)
The
rece
nt p
ublic
atio
n by
The
IIA
Res
earc
h Fo
unda
tion,
S
yste
ms
Ass
uran
ce a
nd C
ontro
l (S
AC
), an
d th
e su
cces
s of
the
Web
-bas
ed w
ww
.ITA
udit.
org
and
vario
us e
-mai
l IIA
ne
wsl
ette
rs c
onfir
ms
that
tech
nolo
gy n
ot o
nly
supp
orts
e-
com
mer
ce s
trate
gies
, but
is a
n in
tegr
al p
art.
Ned
avno
izda
nje
Zakl
ade
istra
živa
nja
IIA “O
sigu
ranj
e kv
alite
te i k
ontro
la s
usta
va (S
AC
)”, u
spje
h w
eb s
trani
ce
ww
w.IT
Aud
it.or
g i
razl
ičiti
h gl
asila
IIA
, po
tvrđ
uju
da
tehn
olog
ija n
ije s
amo
podr
ška,
već
i s
asta
vni
dio
stra
tegi
ja e
-trgo
vine
.
Sys
tem
s S
ecur
itysi
gurn
ost s
usta
vaE
nsur
e S
yste
ms
Sec
urity
(CO
BIT
pro
cess
refe
renc
e D
S5)
ar
e af
fect
ed b
y th
e ad
equa
cy o
f per
vasi
ve IS
con
trols
ove
r pr
oces
ses:
Osi
gura
ti da
sig
urno
st s
usta
va (C
OB
IT p
roce
s, o
znak
a D
S5)
, za
visi
od
adek
vatn
osti
sveo
buhv
atni
h ko
ntro
la
info
rmac
ijsko
g su
stav
a na
d pr
oces
ima.
task
forc
e ra
dna
skup
ina
Inte
rnal
au
dito
rs
have
tra
ditio
nally
pe
rform
ed
man
y ty
pes
of c
onsu
lting
ser
vice
s ra
ngin
g fro
m th
e an
alys
is o
f co
ntro
ls b
uilt
into
dev
elop
ing
syst
ems,
ana
lysi
s of
sec
urity
pr
oduc
ts, s
ervi
ng o
n ta
sk fo
rces
to a
naly
ze o
pera
tions
and
m
ake
reco
mm
enda
tions
, and
so
forth
.
Inte
rni
revi
zori
tradi
cion
alno
oba
vlja
ju m
noge
tip
ove
uslu
ga s
avje
tniš
tva,
od
anal
ize
kont
rola
ugr
ađen
ih
u su
stav
e u
razv
oju
i an
aliz
a pr
oizv
oda
sigu
rnos
ti,
do
sudj
elov
anja
u
radn
im
skup
inam
a za
an
aliz
u po
slov
anja
i do
noše
nja
prep
oruk
a, it
d.
361
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
tech
nolo
gy-b
ased
aud
it te
chni
ques
raču
naln
e re
vizi
jske
tehn
ike
test
dat
ate
stni
pod
aci
CA
ATs
incl
ude
man
y ty
pes
of to
ols
and
tech
niqu
es, s
uch
as g
ener
aliz
ed a
udit
softw
are,
util
ity s
oftw
are,
tes
t da
ta,
appl
icat
ion
softw
are
traci
ng
and
map
ping
, an
d au
dit
expe
rt sy
stem
s.
Rač
unal
ne r
eviz
ijske
teh
nike
ukl
juču
ju m
nogo
broj
ne
tipov
e or
uđa
i teh
nika
, ka
o št
o su
opć
a pr
ogra
msk
a op
rem
a za
revi
ziju
, usl
užna
pro
gram
ska
opre
ma,
test
ni
poda
ci, t
rasi
ranj
e i m
apira
nje
aplik
acijs
ke p
rogr
amsk
e op
rem
e te
sus
tavi
za
revi
zijs
ke s
tručn
jake
.
The
IIA R
esea
rch
Foun
datio
nZa
klad
a za
istra
živa
nje
IIA
This
pap
er i
s av
aila
ble
on t
he I
IA W
eb s
ite a
nd w
as
spon
sore
d by
The
IIA
Res
earc
h Fo
unda
tion,
the
Can
adia
n In
stitu
te o
f C
harte
red
Acc
ount
ants
, an
d th
e In
stitu
te o
f C
orpo
rate
Dire
ctor
s.
Ova
j dok
umen
t mož
e se
nać
i na
web
stra
nici
IIA
-e, a
po
krov
itelji
su
mu
Zakl
ada
za is
traži
vanj
e IIA
, Kan
adsk
i in
stitu
t ov
lašt
enih
kon
trolo
ra i
Ins
titut
kor
pora
tivni
h di
rekt
ora.
The
Inst
itute
of I
nter
nal A
udito
rsIn
stitu
t int
erni
h re
vizo
ra (I
IA)
Inte
rnal
aud
itors
are
enc
oura
ged
to d
emon
stra
te t
heir
prof
icie
ncy
by
obta
inin
g ap
prop
riate
pr
ofes
sion
al
certi
ficat
ion,
su
ch
as
the
Cer
tifie
d In
tern
al
Aud
itor
desi
gnat
ion
and
othe
r des
igna
tions
offe
red
by T
he In
stitu
te
of In
tern
al A
udito
rs (I
IA).
Inte
rne
revi
zore
po
trebn
o je
po
ticat
i na
po
tvrd
u st
ručn
osti
stje
canj
em
odgo
vara
jući
h pr
ofes
iona
lnih
ce
rtifik
ata,
ka
o št
o je
na
ziv
ovla
šten
og
inte
rnog
re
vizo
ra, t
e dr
ugi n
aziv
i koj
e do
djel
juje
Inst
itut i
nter
nih
revi
zora
(IIA
).
third
-par
ty p
rovi
der
pruž
atel
j usl
uga
treći
h os
oba
Whe
n w
eakn
esse
s ar
e id
entif
ied,
th
e au
dito
r sh
ould
de
term
ine
if co
mpe
nsat
ing
cont
rols
exi
st t
o co
unte
r th
e ef
fect
of t
he id
entif
ied
wea
knes
ses
(com
pens
atin
g co
ntro
ls
may
exi
st in
the
orga
niza
tion,
the
third
-par
ty p
rovi
der o
r in
both
ent
ities
).
Po
uoča
vanj
u od
ređe
nih
slab
osti,
re
vizo
r tre
ba
utvr
diti
post
ojan
je k
ompe
nzac
ijski
h ko
ntro
la u
svr
hu
prot
umje
re ti
m s
labo
stim
a (
kom
penz
acijs
ke k
ontro
le
mož
e im
ati o
rgan
izac
ija, p
ruža
telj
uslu
ga tr
ećih
oso
ba
ili o
boje
).
timel
ines
spr
avod
obno
stD
ata
risks
re
latin
g to
its
co
mpl
eten
ess,
in
tegr
ity,
conf
iden
tialit
y, p
rivac
y, a
ccur
acy
and
timel
ines
s.
Riz
ici
poda
taka
ko
ji se
od
nose
na
cj
elov
itost
, vj
erod
osto
jnos
t, po
vjer
ljivo
st,
priv
atno
st,
točn
ost
i pr
avod
obno
st.
tole
rabl
e er
ror
prih
vatlj
iva
pogr
eška
Tole
rabl
e er
ror i
s th
e m
axim
um e
rror
in th
e po
pula
tion
that
au
dito
rs a
re w
illin
g to
acc
ept
and
still
con
clud
e th
at t
he
audi
t obj
ectiv
e ha
s be
en a
chie
ved.
Prih
vatlj
iva
pogr
ješk
a je
m
aksi
mal
na
pogr
ješk
a u
popu
laci
ji ko
ju r
eviz
ori p
rihva
ćaju
uz
zakl
juča
k da
su
cilje
vi re
vizi
je o
stva
reni
.
362
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
traci
ngtra
sira
nje
Whe
n us
ing
appl
icat
ion
softw
are
traci
ng a
nd m
appi
ng,
the
audi
tor
shou
ld c
onfir
m t
hat
the
sour
ce c
ode
bein
g ev
alua
ted
gene
rate
d th
e ob
ject
pro
gram
cur
rent
ly b
eing
us
ed in
pro
duct
ion
Pril
ikom
ko
rište
nja
sust
ava
trasi
ranj
a i
map
iranj
a ap
likac
ijske
pr
ogra
msk
e op
rem
e,
revi
zor
treba
po
tvrd
iti d
a je
izv
orni
kôd
koj
i se
isp
ituje
mje
sto
nast
anka
obj
ektn
og p
rogr
ama
koji
se tr
enut
no k
oris
ti u
prod
ukci
ji.
train
ing
prog
ram
prog
ram
izob
razb
e
Con
tinui
ng
educ
atio
n m
ay
be
obta
ined
th
roug
h m
embe
rshi
p an
d pa
rtici
patio
n in
pro
fess
iona
l so
ciet
ies;
at
tend
ance
at
conf
eren
ces,
sem
inar
s, c
olle
ge c
ours
es,
and
in-h
ouse
tra
inin
g pr
ogra
ms;
an
d pa
rtici
patio
n in
re
sear
ch p
roje
cts.
Sta
lno
stru
čno
usav
ršav
anje
mož
e se
pos
tići p
utem
čl
anst
va
i su
djel
ovan
ja
u st
ručn
im
udru
ženj
ima;
po
hađa
nja
konf
eren
cija
, se
min
ara,
te
čaje
va
i pr
ogra
ma
treni
nga;
te
su
djel
ovan
ja
u pr
ojek
tima
istra
živa
čkog
rada
.
Uni
ted
Sta
tes
(U.S
.A.)
Sje
dinj
ene
Am
erič
ke D
ržav
e (S
AD
)
user
man
agem
ent
ruko
vods
tvo
koris
nika
usl
uge
The
repo
rt sh
ould
spe
cify
any
res
trict
ions
on
dist
ribut
ion
whi
ch t
he a
udito
r or
ser
vice
use
r m
anag
emen
t ag
ree
to
impo
se.
Izvj
ešće
tre
ba n
aves
ti sv
ako
ogra
niče
nje
rasp
odje
le
koju
mog
u po
stav
iti r
eviz
or i
li ru
kovo
dstv
o ko
risni
ka
uslu
ge.
utili
ty s
oftw
are
uslu
žna
prog
ram
ska
opre
ma
Whe
n us
ing
utili
ty s
oftw
are,
the
aud
itor
shou
ld c
onfir
m
that
no
unpl
anne
d in
terv
entio
ns h
ave
take
n pl
ace
durin
g pr
oces
sing
and
that
the
utili
ty s
oftw
are
has
been
obt
aine
d fro
m th
e ap
prop
riate
sys
tem
libr
ary.
Pril
ikom
ko
rište
nja
uslu
žne
prog
ram
ske
opre
me,
re
vizo
r tre
ba p
otvr
diti
da u
tije
ku o
brad
e po
data
ka
nije
bi
lo
nepl
anira
nih
inte
rven
cija
, te
da
us
lužn
a pr
ogra
msk
a op
rem
a po
tječe
iz o
dgov
araj
uće
bibl
iote
ke
sust
ava.
valu
atio
npr
ocje
naV
alua
tions
of
asse
ts s
uch
as l
and
and
build
ings
, w
orks
of
art,
pre
ciou
s ge
ms,
inve
stm
ents
, and
com
plex
fina
ncia
l in
stru
men
ts.
Pro
cjen
a im
ovin
e po
put
zem
ljišt
a i
nekr
etni
na,
umje
tnič
kih
djel
a,
drag
og
kam
enja
, in
vest
icija
i
slož
enih
fina
ncijs
kih
inst
rum
enat
a.
valu
e pr
opos
ition
prije
dlog
zna
čajn
osti
The
valu
e pr
opos
ition
of
the
inte
rnal
aud
it ac
tivity
is
real
ized
with
in e
very
org
aniz
atio
n th
at e
mpl
oys
inte
rnal
au
dito
rs in
a m
anne
r th
at s
uits
the
cultu
re a
nd r
esou
rces
of
that
org
aniz
atio
n.
Prij
edlo
g zn
ačaj
nost
i dj
elat
nost
i in
tern
e re
vizi
je
ostv
aruj
e se
unu
tar s
vake
org
aniz
acije
koj
a za
pošl
java
in
tern
e re
vizo
re
na
nači
n ko
ji od
gova
ra
kultu
ri i
resu
rsim
a te
org
aniz
acije
.
Val
ue W
eigh
ted
sele
ctio
nod
abir
s te
žino
m n
a ve
ću
vrije
dnos
t
Exa
mpl
es
incl
ude
Mon
etar
y U
nit
Sam
plin
g or
V
alue
W
eigh
ted
sele
ctio
n w
here
ea
ch
indi
vidu
al
mon
etar
y va
lue.
Prim
jeri
uklju
čuju
uzo
rkov
anje
nov
čane
jed
inic
e ili
od
abir
s te
žino
m
na
veću
vr
ijedn
ost,
gdje
sv
aka
poje
dina
nov
čana
vrij
edno
st...
363
Engl
ish
Hrv
atsk
iEn
glis
hH
rvat
ski
whi
stle
blow
er h
otlin
e pr
ogra
ms
prog
ram
i tel
efon
skih
lini
ja z
a do
javu
slu
čaje
va p
rijev
are
Eth
ics
and
whi
stle
blow
er
hotli
ne
prog
ram
s to
re
port
conc
erns
.P
rogr
ami
etič
kog
pona
šanj
a i
tele
fons
kih
linija
za
doja
vu s
luča
jeva
prij
evar
a.
whi
stle
blow
ing
doja
va s
luča
jeva
prij
evar
e
In s
tudi
es a
bout
whi
stle
blow
ing,
it h
as b
een
repo
rted
that
m
ost
whi
stle
blow
ers
disc
lose
the
sen
sitiv
e in
form
atio
n in
tern
ally
, eve
n if
outs
ide
the
norm
al c
hain
of c
omm
and,
pa
rticu
larly
if t
hey
trust
the
pol
icie
s an
d m
echa
nism
s of
th
e or
gani
zatio
n to
inve
stig
ate
an a
llega
tion
of a
n ill
egal
or
othe
r im
prop
er a
ctiv
ity a
nd to
take
app
ropr
iate
act
ion.
U
istra
živa
njim
a o
doja
vam
a sl
učaj
eva
prije
vare
, uk
azuj
e se
na
to d
a ve
ćina
oso
ba k
oje
doja
vlju
ju
sluč
ajev
e pr
ijeva
re n
ajpr
ije i
nter
no o
tkriv
a os
jetlj
ive
info
rmac
ije, č
ak i
izva
n uo
biča
jeni
h lin
ija o
dgov
orno
sti,
naro
čito
ako
se
pouz
daju
u p
oliti
ke i
meh
aniz
me
orga
niza
cije
za
is
tragu
na
vodn
ih
sluč
ajev
a ne
zako
nitih
ili n
eprih
vatlj
ivih
akt
ivno
sti i
pod
uzim
anje
od
gova
raju
ćih
kora
ka.